簡要摘要
一款受歡迎的員工監控工具正被駭客攻擊,並用作勒索軟體攻擊的立足點,根據網絡安全公司Huntress的一份新報告。 在2026年1月底至2月初,Huntress的戰術反應團隊調查了兩起入侵事件,攻擊者將Net Monitor for Employees Professional與IT部門使用的遠端存取工具SimpleHelp結合使用。
TL;DR 📌 網絡犯罪分子將員工監控軟體變成遠端存取木馬(RAT),與SimpleHelp配對,追蹤加密貨幣,並試圖部署Crazy勒索軟體。
這篇文章背後的倫理壞蛋:@RussianPanda9xx、@sudo_Rem、@Purp1eW0lf,以及@Antonlovesdnbhttps://t.co/3c6qbD7l3g
— Huntress (@HuntressLabs) 2026年2月13日
根據報告,駭客利用員工監控軟體進入公司系統,並用SimpleHelp確保即使一個存取點被封鎖,他們仍能留在系統中。最終活動導致試圖部署Crazy勒索軟體。 “這些案例突顯出一個日益增長的趨勢,即威脅行為者利用合法的商業軟體來融入企業環境,”Huntress的研究人員寫道。 “Net Monitor for Employees Professional,雖然被標榜為員工監控工具,但其功能可媲美傳統的遠端存取木馬:反向連線通過常用端口、進程與服務名稱偽裝、內建殼層執行,以及能夠透過標準Windows安裝機制靜默部署。當與SimpleHelp作為次要存取通道配合時……結果是一個具有彈性、雙工具的立足點,難以與合法管理軟體區分。” 公司補充說,雖然這些工具可能具有新穎性,但根本原因仍是暴露的邊界和弱化的身份驗證,包括被入侵的VPN帳戶。
“老闆軟體”的崛起 所謂的“老闆軟體”在全球的使用情況各異,但普遍盛行。根據去年的一份報告,約三分之一的英國公司使用員工監控軟體,而在美國,這一數字估計約為60%。
這些軟體通常用於追蹤生產力、記錄活動和截取員工螢幕截圖。但其使用具有爭議,亦有人質疑它是否真正反映員工的生產力,或僅根據鼠標點擊或發送電子郵件等任意標準來評估。 儘管如此,這些工具的普及使其成為攻擊者的有吸引力的攻擊向量。由NetworkLookout開發的Net Monitor for Employees Professional,原本用於員工生產力追蹤,但提供超越被動螢幕監控的功能,包括反向殼層連線、遠端桌面控制、檔案管理,以及在安裝過程中自訂服務和進程名稱的能力。 這些設計用於合法管理用途的功能,可能讓威脅行為者在不部署傳統惡意軟體的情況下融入企業環境。 在Huntress詳細描述的第一個案例中,調查人員被一台主機上的可疑帳戶操作所警示,包括試圖禁用系統的Guest帳戶和啟用內建的Administrator帳戶。多個“net”命令被執行,用於列出用戶、重設密碼和建立額外帳戶。 分析師追蹤活動源頭,發現與Net Monitor for Employees相關的二進位檔,該檔啟動了一個偽終端應用,允許命令執行。該工具從外部IP地址下載了一個SimpleHelp二進位檔,之後攻擊者試圖篡改Windows Defender並部署多個版本的Crazy勒索軟體,屬於VoidCrypt家族。 在第二次入侵中,於2026年2月初觀察到,攻擊者透過被入侵的供應商SSL VPN帳戶進入,並透過遠端桌面協定連線到域控制器。從那裡,他們直接從供應商網站安裝了Net Monitor代理。攻擊者自訂服務和進程名稱,以模仿合法的Windows組件,將服務偽裝成OneDrive相關,並重新命名運行中的進程。 接著,他們安裝SimpleHelp作為額外的持久通道,並設定基於關鍵字的監控觸發器,針對加密貨幣錢包、交易所和支付平台,以及其他遠端存取工具。Huntress表示,這些活動明顯具有財務動機並故意規避防禦。
Net Monitor for Employee背後的公司Network LookOut告訴_Decrypt_,該代理只能由已具有管理員權限的用戶安裝。“沒有管理員權限,無法安裝,”該公司透過電子郵件表示。 “所以,如果你不希望我們的軟體安裝在某台電腦上,請確保未授予未經授權的用戶管理員存取權,因為管理員存取權允許安裝任何軟體。” 這並非駭客首次試圖利用老闆軟體部署勒索軟體或竊取資訊。2025年4月,研究人員揭露,超過20萬人使用的工作場所監控應用WorkComposer,曾在未受保護的雲端存儲桶中暴露超過2100萬張即時截圖,可能洩露敏感商業資料、憑證和內部通訊。
