Купить криптовалюту
Оплатить в
USD
USD
Купить и продать
Hot
Поддерживает Visa, Mastercard и др.
P2P
0 Fees
Гибкая торговля, 0 комиссий
Gate Card
Платите криптовалютой по всему миру
Рынки
Торговля
Основа
Продвинутый
Фьючерсы
Фьючерсы
Доступ к сотням фьючерсов
CFD
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
Earn
Запуск
CandyDrop
tag
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Pre-IPOs
Откройте полный доступ к глобальным IPO акций
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Square
Квадрат
Узнавайте больше о преимуществах криптовалют
Live
moments live
Анализ рынка криптовалют в реальном времени
Чат
Общайтесь с криптотрейдерами
Новости
Последние новости в мире криптовалют
flower_head
Еще
Рекламные акции
AI
Другое
TradFi
Gate Card
Награды

Вымогатели-кибератаки нацелены на программное обеспечение для мониторинга сотрудников для получения доступа к компьютерам

Decrypt

Кратко

  • Инструменты для мониторинга рабочих мест подвергаются атакам со стороны вымогателей, сообщает кибербезопасная компания Huntress.
  • Новый отчет показал, что злоумышленники связывали программное обеспечение для мониторинга сотрудников с инструментами удаленного управления, чтобы сохранять присутствие в системах компаний.
  • Широкое использование «боссваре» расширило потенциальную поверхность для атак предприятий.

Популярный инструмент для мониторинга сотрудников подвергается атакам хакеров и используется как точка входа для атак с вымогательским ПО, согласно новому отчету компании Huntress. В конце января и начале февраля 2026 года команда тактического реагирования Huntress расследовала два взлома, в которых злоумышленники сочетали Net Monitor for Employees Professional с SimpleHelp — инструментом удаленного доступа, используемым ИТ-отделами.

TL;DR 📌 Киберпреступники превратили программное обеспечение для мониторинга сотрудников в RAT, связали его с SimpleHelp, охотились за криптовалютой и пытались запустить Crazy ransomware.

Ответственные за этот материал: @RussianPanda9xx, @sudo_Rem, @Purp1eW0lf, + @Antonlovesdnbhttps://t.co/3c6qbD7l3g

— Huntress (@HuntressLabs) 13 февраля 2026

По данным отчета, хакеры использовали программное обеспечение для мониторинга сотрудников, чтобы проникнуть в системы компаний, а SimpleHelp — чтобы обеспечить постоянный доступ, даже если один из каналов был закрыт. В итоге активность привела к попытке развертывания Crazy ransomware. «Эти случаи подчеркивают растущую тенденцию использования злоумышленниками легитимного, коммерчески доступного программного обеспечения для маскировки в корпоративных средах», — написали исследователи Huntress. «Net Monitor for Employees Professional, хотя и позиционируется как инструмент для мониторинга работников, обладает возможностями, сопоставимыми с традиционными удаленными троянами: обратные соединения через обычные порты, маскировка имен процессов и служб, встроенный шелл и возможность тихого развертывания через стандартные механизмы установки Windows. В сочетании с SimpleHelp как вторым каналом доступа… результат — устойчивое, двойное средство проникновения, которое трудно отличить от легитимного административного программного обеспечения.» Компания добавила, что хотя инструменты могут быть новыми, корень проблемы — это уязвимые периметры и слабая проверка идентичности, включая скомпрометированные VPN-аккаунты. Рост популярности «боссваре» Использование так называемого «боссваре» варьируется в разных странах, но широко распространено. Около трети компаний в Великобритании используют программное обеспечение для мониторинга сотрудников, согласно отчету прошлого года, а в США эта цифра оценивается примерно в 60%.

Это программное обеспечение обычно применяется для отслеживания производительности, регистрации активности и захвата скриншотов экранов работников. Но его использование вызывает споры, так как существуют сомнения, действительно ли оно измеряет продуктивность сотрудников или оценивает их по произвольным критериям, таким как клики мышью или отправленные электронные письма. Тем не менее, популярность таких инструментов делает их привлекательной целью для злоумышленников. Net Monitor for Employees Professional, разработанный компанией NetworkLookout, позиционируется как средство для отслеживания производительности сотрудников, но обладает возможностями, выходящими за рамки пассивного мониторинга экрана, включая обратные шелл-соединения, удаленное управление рабочим столом, управление файлами и возможность настройки имен служб и процессов при установке. Эти функции, предназначенные для легитимного административного использования, позволяют злоумышленникам маскироваться под корпоративное программное обеспечение без развертывания традиционного вредоносного ПО. В первом случае, описанном Huntress, расследователи обнаружили подозрительные манипуляции с аккаунтами на хосте, включая попытки отключить системную учетную запись Guest и активировать встроенную учетную запись администратора. Были выполнены несколько команд «net» для перечисления пользователей, сброса паролей и создания дополнительных аккаунтов. Аналитики проследили активность до бинарного файла, связанного с Net Monitor for Employees, который запустил псевдотерминальное приложение для выполнения команд. Инструмент скачал бинарный файл SimpleHelp с внешнего IP-адреса, после чего злоумышленник попытался вмешаться в Windows Defender и развернуть несколько версий Crazy ransomware, входящих в семейство VoidCrypt. Во втором случае, зафиксированном в начале февраля, злоумышленники получили доступ через скомпрометированный аккаунт VPN поставщика и подключились через протокол удаленного рабочего стола к контроллеру домена. Оттуда они установили агент Net Monitor прямо с сайта поставщика. Злоумышленники настроили имена служб и процессов так, чтобы они имитировали легитимные компоненты Windows, маскируя службу под связанный с OneDrive и переименовывая запущенный процесс. Затем они установили SimpleHelp как дополнительный устойчивый канал и настроили триггеры мониторинга по ключевым словам, нацеленные на криптовалютные кошельки, биржи, платежные платформы и другие инструменты удаленного доступа. Huntress отметил, что активность явно имела финансовую мотивацию и демонстрировала умышленное избегание защиты.

Компания Network LookOut, создатель Net Monitor for Employee, сообщила Decrypt, что агент может быть установлен только пользователем с административными правами на компьютере, где он должен быть установлен. «Без административных прав установка невозможна», — говорится в письме. «Если вы не хотите, чтобы наше программное обеспечение было установлено на компьютер, убедитесь, что доступ администратора не предоставлен неавторизованным пользователям, так как административный доступ позволяет установить любое программное обеспечение.» Это не первый случай, когда злоумышленники пытаются развернуть вымогательское ПО или украсть информацию с помощью боссваре. В апреле 2025 года исследователи обнаружили, что WorkComposer, приложение для наблюдения за рабочим процессом, используемое более чем 200 000 человек, оставило более 21 миллиона скриншотов в открытом облачном хранилище, что потенциально могло привести к утечке конфиденциальных бизнес-данных, учетных данных и внутренних коммуникаций.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев