简要概述
据网络安全公司Huntress的一份新报告显示,一款流行的员工监控工具正被黑客利用,作为勒索软件攻击的跳板。 在2026年1月下旬至2月初,Huntress的战术响应团队调查了两起入侵事件,攻击者将Net Monitor for Employees Professional与IT部门使用的远程访问工具SimpleHelp结合使用。
TL;DR 📌 网络犯罪分子将员工监控软件变成了远控木马(RAT),与SimpleHelp配对,猎取加密货币,并试图部署Crazy勒索软件。
这篇文章背后的道德“坏蛋”们:@RussianPanda9xx、@sudo_Rem、@Purp1eW0lf,以及@Antonlovesdnbhttps://t.co/3c6qbD7l3g
— Huntress (@HuntressLabs) 2026年2月13日
报告指出,黑客利用员工监控软件入侵公司系统,并通过SimpleHelp确保即使某个入口被关闭也能持续访问。最终,这些活动导致了Crazy勒索软件的部署尝试。 “这些案例反映出一种日益增长的趋势,即威胁行为者利用合法的、商业化的软件融入企业环境,”Huntress的研究人员写道。 “Net Monitor for Employees Professional虽然被宣传为员工监控工具,但其功能堪比传统的远程访问木马:通过常用端口建立反向连接、伪装进程和服务名称、内置Shell执行,以及通过标准Windows安装机制静默部署。当与SimpleHelp作为备用访问渠道配合使用时……结果是一个具有弹性、双重工具的跳板,难以与合法的管理软件区分。” 公司补充说,虽然这些工具可能是新颖的,但根本原因仍然是暴露的边界和薄弱的身份验证措施,包括被攻破的VPN账户。 “老板软件”的崛起 所谓的“老板软件”在全球范围内的使用情况不同,但普遍广泛。根据去年的一份报告,英国约三分之一的公司使用员工监控软件,而在美国,这一比例估计约为60%。
这些软件通常用于追踪生产力、记录活动和截取员工屏幕截图。但其使用具有争议,有关其是否真正反映员工生产力,或仅仅依据鼠标点击或电子邮件数量等任意标准进行评估的争论不断。 尽管如此,这些工具的流行使其成为攻击者的有吸引力的目标。由NetworkLookout开发的Net Monitor for Employees Professional,虽然被宣传为员工生产力追踪工具,但其功能超越被动屏幕监控,包括反向Shell连接、远程桌面控制、文件管理,以及在安装过程中自定义服务和进程名称。 这些为合法管理用途设计的功能,可能让威胁行为者无需部署传统恶意软件就能融入企业环境。 在Huntress详细描述的第一个案例中,调查人员通过一台主机上的可疑账户操作被警觉,包括试图禁用Guest账户和启用内置的Administrator账户。执行了多条“net”命令以列出用户、重置密码和创建新账户。 分析人员追踪到与Net Monitor for Employees相关的二进制文件,该文件生成了一个伪终端应用,允许执行命令。该工具从外部IP地址下载了SimpleHelp二进制文件,随后攻击者试图篡改Windows Defender并部署多个版本的Crazy勒索软件,属于VoidCrypt家族。 在第二次入侵中,发生在2026年2月初,攻击者通过被攻破的供应商SSL VPN账户进入,并通过远程桌面协议连接到域控制器。从那里,他们直接从供应商网站安装了Net Monitor代理。攻击者自定义了服务和进程名称,以模仿合法的Windows组件,将服务伪装成OneDrive相关,并重命名运行中的进程。 随后,他们安装了SimpleHelp作为额外的持久通道,并配置了基于关键词的监控触发器,针对加密货币钱包、交易所、支付平台以及其他远程访问工具。Huntress表示,这些活动显示出明显的财务动机和故意规避防御的迹象。
Net Monitor for Employee背后的公司Network LookOut告诉_Decrypt_,该代理只能由已具有管理员权限的用户安装。“没有管理员权限,无法进行安装,”公司通过电子邮件表示。 “因此,如果你不希望我们的软件安装在某台电脑上,请确保未将管理员权限授予未授权用户,因为管理员权限允许安装任何软件。” 这并非黑客首次试图通过老板软件部署勒索软件或窃取信息。2025年4月,研究人员披露,超过20万用户使用的工作场所监控应用WorkComposer在未受保护的云存储桶中暴露了超过2100万张实时截图,可能泄露敏感商业数据、凭据和内部通信。
