根据网络安全公司Huntress的最新报告，一款流行的员工监控工具正受到黑客的攻击，并被用作勒索软件攻击的立足点。

在2026年1月底和2月初，Huntress的战术响应团队调查了两起入侵事件，攻击者将员工专用网络监控软件Net Monitor for Employees Professional与IT部门使用的远程访问工具SimpleHelp结合使用。

报告指出，黑客利用员工监控软件进入公司系统，并使用SimpleHelp确保即使一个访问点被关闭，他们也能留在那里。这一活动最终导致尝试部署Crazy勒索软件。

“这些案例突显了威胁行为者利用合法、商业可用软件以融入企业环境的日益增多的趋势，”Huntress的研究人员写道。

“虽然Net Monitor for Employees Professional被宣传为员工监控工具，但它具备的功能与传统的远程访问木马不相上下：通过常用端口进行反向连接，伪装进程和服务名称，内置的Shell执行功能，以及通过标准Windows安装机制静默部署的能力。当与SimpleHelp作为辅助访问通道结合使用时……结果是一个韧性强、双工具的立足点，难以与合法的管理软件区分。”

该公司补充说，尽管这些工具可能是新颖的，但根本原因仍然是暴露的边界和弱身份卫生，包括被破解的VPN账户。

所谓“老板软件”的兴起

所谓的“老板软件”的使用在全球范围内差异很大，但普遍存在。根据去年的一份报告，约三分之一的英国公司使用员工监控软件，而在美国，这一比例估计约为60%。

该软件通常用于跟踪生产力、记录活动和捕获员工屏幕截图。但其使用具有争议，因为关于它是否真正捕获员工生产力还是基于鼠标点击或发送邮件等任意标准进行评估的说法也是有争议的。

尽管如此，它们的普及使这些工具成为攻击者的一个吸引目标。由NetworkLookout开发的Net Monitor for Employees Professional被宣传用于员工生产力跟踪，但提供的功能超出了被动的屏幕监控，包括反向Shell连接、远程桌面控制、文件管理以及在安装过程中自定义服务和进程名称的能力。

这些本为合法管理用途设计的功能可能允许威胁行为者在企业环境中融合，而不部署传统恶意软件。

在Huntress详细描述的第一个案例中，调查人员因主机上的可疑账户操作而受到警报，包括试图禁用系统访客账户并启用内置的管理员账户。多个“net”命令被执行以枚举用户、重置密码并创建额外账户。

分析师追踪到与Net Monitor for Employees相关的一个二进制文件，该文件产生了一个伪终端应用程序，允许执行命令。该工具从一个外部IP地址下载了一个SimpleHelp二进制文件，之后攻击者试图篡改Windows Defender并部署多个版本的Crazy勒索软件，该勒索软件属于VoidCrypt家族。

在第二次入侵事件中，发生在2月初，攻击者通过一个被破解的供应商的SSL VPN账户进入，并通过远程桌面协议连接到域控制器。从那里，他们直接从供应商的网站安装了Net Monitor代理。攻击者自定义服务和进程名称，以模仿合法的Windows组件，伪装服务为与OneDrive相关，并重命名正在运行的进程。

然后，他们安装了SimpleHelp作为额外的持久通道，并配置了针对加密货币钱包、交易所和支付平台的基于关键词的监控触发器，以及其它远程访问工具。Huntress表示，该活动显示出明显的财务动机和故意的防御规避迹象。

Net Monitor for Employee背后的公司Network LookOut告诉Decrypt，该代理只能由已经在要安装代理的计算机上拥有管理权限的用户安装。“没有管理权限，无法进行安装，”它通过电子邮件表示。

“因此，如果您不希望我们的软件在计算机上安装，请确保不向未授权用户授予管理访问权限，因为管理访问允许安装任何软件。”

这不是黑客第一次尝试通过老板软件部署勒索软件或窃取信息。在2025年4月，研究人员揭示，工作作曲家（WorkComposer）这款被超过200,000人使用的工作场所监控应用，曾在一个不安全的云存储桶中暴露了超过2100万张实时截图，可能泄露敏感的商业数据、凭据和内部通信。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。