根据网络安全公司Huntress的一份新报告,一款流行的员工监控工具正成为黑客的目标,并被用作勒索软件攻击的立足点。
Huntress的战术响应团队在2026年1月下旬至2月上旬期间调查了两起入侵事件。在这些事件中,攻击者将Net Monitor for Employees Professional与IT部门使用的远程访问工具SimpleHelp结合使用。
报告指出,黑客利用员工监控软件进入公司系统,并使用SimpleHelp确保即使一个接入点被关闭,他们也能保持访问权限。这些活动最终导致了Crazy勒索软件的部署尝试。
Huntress的研究人员写道:“这些案例凸显了一个日益增长的趋势,即威胁行为者利用合法的、市售的软件来融入企业环境。”
“Net Monitor for Employees Professional虽然作为员工监控工具进行营销,但其功能可与传统的远程访问木马相媲美:通过常用端口进行反向连接、进程和服务名称伪装、内置的shell执行,以及通过标准Windows安装机制静默部署的能力。当与SimpleHelp作为辅助访问通道配对时……其结果是一个有弹性的、双工具的立足点,很难与合法的管理软件区分开来。”
该公司补充说,虽然这些工具可能是新颖的,但根本原因仍然是暴露的网络边界和薄弱的身份验证措施,包括被盗用的VPN账户。
“老板软件”的兴起
所谓的“老板软件”(bossware)的使用在全球范围内情况各不相同,但相当普遍。根据去年的报告,约三分之一的英国公司使用员工监控软件,而在美国,这一数字估计约为60%。
该软件通常用于跟踪生产力、记录活动和截取员工屏幕截图。但其使用备受争议,关于它是否真正能反映员工生产力,还是仅基于鼠标点击或发送邮件等武断标准进行评估的说法也存在争议。
尽管如此,这类工具的流行使其成为攻击者颇具吸引力的攻击媒介。由NetworkLookout开发的Net Monitor for Employees Professional,虽然是为员工生产力跟踪而设计,但其功能超出了被动屏幕监控,包括反向shell连接、远程桌面控制、文件管理以及在安装过程中自定义服务和进程名称的能力。
这些为合法管理用途设计的功能,可能让威胁行为者在不部署传统恶意软件的情况下融入企业环境。
在Huntress详述的第一个案例中,调查人员因主机上可疑的账户操作而收到警报,包括试图禁用系统访客账户并启用内置管理员账户。攻击者执行了多个“net”命令来枚举用户、重置密码和创建额外账户。
分析师将此活动追溯到一个与Net Monitor for Employees相关的二进制文件,该文件生成了一个允许命令执行的伪终端应用程序。该工具从一个外部IP地址下载了SimpleHelp的二进制文件,之后攻击者试图篡改Windows Defender并部署VoidCrypt家族的多个Crazy勒索软件版本。
在2月初观察到的第二次入侵中,攻击者通过一个被盗用的供应商的SSL VPN账户进入,并通过远程桌面协议连接到域控制器。在那里,他们直接从供应商网站安装了Net Monitor代理。攻击者自定义了服务和进程名称以模仿合法的Windows组件,将服务伪装成与OneDrive相关,并重命名了正在运行的进程。
随后,他们安装了SimpleHelp作为额外的持久访问通道,并配置了基于关键字的监控触发器,目标是加密货币钱包、交易所和支付平台,以及其他远程访问工具。Huntress表示,该活动显示出明确的经济动机和刻意的防御规避迹象。
Net Monitor for Employee背后的公司Network LookOut告诉Decrypt,代理只能由已在该计算机上拥有管理员权限的用户安装。“没有管理员权限,安装是不可能的,”该公司通过电子邮件表示。
“因此,如果您不希望我们的软件安装在计算机上,请确保未经授权的用户不被授予管理员权限,因为管理员权限允许安装任何软件。”
这并非黑客首次试图通过“老板软件”部署勒索软件或窃取信息。2025年4月,研究人员透露,超过20万人使用的工作场所监控应用WorkComposer,在一个不安全的云存储桶中暴露了超过2100万张实时屏幕截图,可能泄露了敏感的商业数据、凭证和内部通信。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/02/14/%e8%ad%a6%e6%83%95%ef%bc%9a%e5%8b%92%e7%b4%a2%e8%bd%af%e4%bb%b6%e9%bb%91%e5%ae%a2%e6%ad%a3%e5%88%a9%e7%94%a8%e5%91%98%e5%b7%a5%e7%9b%91%e6%8e%a7%e8%bd%af%e4%bb%b6%e5%85%a5%e4%be%b5%e4%bc%81%e4%b8%9a/
