勒索软件黑客利用员工监控软件入侵电脑

员工监控工具成黑客目标

根据网络安全公司Huntress的一份新报告，一款流行的劳动力监控工具正成为黑客的目标，并被用作勒索软件攻击的突破口。

两起入侵事件分析

2026年1月下旬和2月上旬，Huntress的战术响应团队调查了两起入侵事件。在这两起事件中，攻击者将“Net Monitor for Employees Professional”与IT部门常用的远程访问工具SimpleHelp结合使用。

根据报告，黑客利用员工监控软件进入公司系统，并使用SimpleHelp确保即使一个接入点被关闭，他们仍能保持访问权限。最终，这些活动导致了Crazy勒索软件的尝试部署。

合法软件被滥用于恶意目的

Huntress的研究人员写道：“这些案例突显了一个日益增长的趋势，即威胁行为者利用合法且商业可用的软件融入企业环境。”

“尽管‘Net Monitor for Employees Professional’被宣传为一种劳动力监控工具，但它提供的功能可以媲美传统的远程访问木马：通过常用端口进行反向连接、进程和服务名称伪装、内置shell执行以及通过标准Windows安装机制静默部署的能力。当与SimpleHelp作为次要访问渠道搭配使用时……结果是一个难以与合法管理软件区分的弹性双工具立足点。”

暴露的根本原因

该公司补充说，虽然这些工具可能是新颖的，但根本原因仍然是暴露的边界和薄弱的身份卫生，包括被攻破的VPN账户。

“老板软件”的兴起

所谓的“老板软件”在全球范围内的使用情况各异，但总体来说非常普遍。根据去年的一份报告显示，约三分之一的英国公司使用员工监控软件，而在美国这一比例估计约为60%。

这种软件通常用于跟踪生产力、记录活动并截取员工屏幕截图。但其使用存在争议，关于它是否真正捕捉到员工生产力或只是基于鼠标点击或发送电子邮件等任意标准进行评估也存在争议。

攻击者的吸引力

然而，这些软件的流行使其成为攻击者的诱人载体。“Net Monitor for Employees Professional”由NetworkLookout开发，虽然市场定位是员工生产力跟踪，但其功能远超被动屏幕监控，包括反向shell连接、远程桌面控制、文件管理和安装期间自定义服务和进程名称的能力。

这些设计用于合法管理用途的功能，可以使威胁行为者在不部署传统恶意软件的情况下融入企业环境。

第一起案例详细分析

在Huntress详细描述的第一起案例中，调查人员因主机上的可疑账户操作而收到警报，其中包括试图禁用系统访客账户并启用内置管理员账户。执行了多个“net”命令以枚举用户、重置密码并创建其他账户。

分析师追踪到该活动与“Net Monitor for Employees”相关的二进制文件有关，该文件生成了一个允许命令执行的伪终端应用程序。该工具从外部IP地址下载了SimpleHelp二进制文件，之后攻击者试图篡改Windows Defender并部署多个版本的Crazy勒索软件，这是VoidCrypt家族的一部分。

第二起入侵事件

在2月初观察到的第二起入侵事件中，攻击者通过被攻破的供应商SSL VPN账户进入，并通过远程桌面协议连接到域控制器。从那里，他们直接从供应商网站安装了Net Monitor代理。攻击者自定义了服务和进程名称，以模仿合法的Windows组件，将服务伪装成OneDrive相关并将运行进程重命名。

然后，他们安装了SimpleHelp作为额外的持久通道，并配置了基于关键词的监控触发器，目标是加密货币钱包、交易所和支付平台以及其他远程访问工具。Huntress表示，这些活动显示出明显的财务动机和有意的防御规避。

厂商回应

Net Monitor for Employee背后的公司Network LookOut告诉Decrypt，只有拥有计算机管理员权限的用户才能安装该代理。“没有管理员权限，安装是不可能的，”该公司通过电子邮件表示。

“因此，如果你不想让我们的软件安装在计算机上，请确保不要授予未经授权的用户管理员访问权限，因为管理员访问权限允许安装任何软件。”

类似事件回顾

这并不是黑客第一次试图通过老板软件部署勒索软件或窃取信息。2025年4月，研究人员透露，超过20万人使用的职场监控应用WorkComposer在一个未受保护的云存储桶中留下了超过2100万张实时截图，可能泄露敏感的业务数据、凭据和内部通信。