网络犯罪分子越来越多地利用合法的管理软件发起攻击,这使得他们的恶意活动更难被发现。
这些行为者不再仅仅依赖定制的计算机病毒,而是滥用合法的员工监控工具来隐藏在企业网络中。
通过使用旨在跟踪员工生产力的软件,他们可以控制系统并窃取敏感数据,而不会触发标准的安全警报。
这种策略使他们能够融入正常的日常流量中,绕过通常用于拦截已知恶意程序的防御措施。
在最近的攻击活动中,主要使用的工具是“Net Monitor for Employees Professional”和“SimpleHelp”。
尽管这些应用程序是为提供有用的 IT 支持和员工监督而设计的,但黑客已经将其用于恶意目的。
Net Monitor for Employees Professional 控制台界面(来源:Huntress)
他们利用这些软件的强大功能(例如查看屏幕、管理文件和运行命令)来控制计算机。这实际上将一款标准的办公工具变成了远程控制网络的危险武器。
Huntress 分析师在 2026 年初发现了这种特定活动,并指出攻击者利用这些工具维持长期访问权限。
研究人员观察到,入侵者不仅监视用户,还积极地为更具破坏性的攻击做准备。
通过建立这种隐蔽的立足点,攻击者可以在 IT 团队不知情的情况下执行技术命令并禁用安全措施。
这种静默访问通常会导致尝试部署“Crazy”勒索软件(一种文件锁定病毒)以及窃取加密货币。
规避技术和持久性
攻击者竭力伪装其在受感染机器上的存在,以避免被清除。他们经常将恶意文件重命名,使其看起来像重要的 Microsoft 服务。
例如,监控代理通常注册为“OneDriveSvc”和“OneDriver.exe”之类的名称,试图欺骗用户,让他们误以为这是一个无害的云存储进程。
图片
时间线(来源:Huntress)
时间线(来源:Huntress)这个简单的技巧帮助恶意软件在不引起怀疑的情况下保持活跃。
为了进一步确保能够留在网络中,攻击者安装了 SimpleHelp 作为备用入口点。这种冗余机制意味着,即使其中一个工具被发现并移除,另一个工具也能让他们再次入侵。
他们还配置了该软件,使其监视屏幕上的特定词语,例如“钱包”或“币安”。这样,当用户打开银行应用程序时,他们就能立即收到警报,从而确保在最佳时机窃取资金。
为了防止此类攻击,企业必须严格限制哪些用户可以安装软件,并应在所有远程账户上强制执行多因素身份验证 (MFA)。
安全团队还应定期审核系统,查找未经授权的远程管理工具,并监控禁用防病毒程序的尝试。
最后,检查模仿合法服务的异常程序名称对于及早发现此类入侵至关重要。
消息来源:cybersecuritynews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
