脅威アクターが市販の従業員監視ツールを悪用してランサムウェア攻撃を増幅させる、新たなサイバーセキュリティ脅威が浮上しています。
2026年1月下旬から2月にかけて、Huntress Tactical Response チームは、脅威アクターが正規の労働力監視ツールである Net Monitor for Employees Professional と、リモート監視および管理(RMM)プラットフォームである SimpleHelp を悪用した複数の侵入を特定しました。
この組み合わせにより、攻撃者は標的環境内に永続的で非常に効果的な足がかりを確立し、最終的に Crazy ランサムウェアを展開することができました。
Net Monitor for Employees Professional は、従業員の生産性を監視するツールとして販売されています。画面監視、リバースシェル接続、リモートデスクトップ制御、ファイル管理などの機能を提供しています。
しかし、元々正規の管理用途向けに設計されたこれらの機能は、攻撃者にとっても魅力的なツールとなっています。
Net Monitor のコマンド実行、リバース接続の確立、そして目立たないように隠れる能力を活用することで、攻撃者は被害者のシステムへの検出されないリモートアクセスを獲得しました。
観測されたケースでは、攻撃者は Net Monitor for Employees と SimpleHelp を組み合わせて使用しました。サイバー犯罪者はますます標的にしていますこの RMM ツールを、その軽量なエージェントと冗長性のサポートのために。
SimpleHelp が一般的なポート経由で動作する能力により、従来のセキュリティツールでの検出が困難になっています。
両方のツールを使用することで、攻撃者は権限を昇格させ、永続的なアクセスを作成し、最終的にランサムウェアを展開することができ、正規の管理と悪意のある悪用の境界線を曖昧にする進化した攻撃手法を示しています。
最初のケースは2026年1月下旬に発生し、侵害されたシステムが不審な活動を示し始めました。
リモートアクセスツールが、システムの Guest アカウントを無効化し、ユーザー設定を操作するために使用されました。さらに詳しく調査したところ、セキュリティアナリストは Net Monitor for Employees Professional ソフトウェアが攻撃を促進するために使用されていることを発見しました。
このソフトウェアは隠された winpty-agent.exe プロセスを生成し、コマンドの実行とデータ収集を可能にしましたが、これは従業員監視ツールの標準機能ではありません。
攻撃者は Net Monitor のリバース接続機能を使用して SimpleHelp バイナリ(vhost.exe)をダウンロードして実行し、攻撃者のインフラストラクチャに接続し直すように構成されました。
この時点から、脅威アクターはWindows Defender を無効化し、VoidCrypt ファミリーに関連する亜種である Crazy ランサムウェアを展開しようと試みました。
侵害されたシステム上にランサムウェアバイナリの複数のコピーが見つかったという事実は、攻撃者が攻撃を最終化する前に複数回失敗した試みがあったことを示しています。
2026年2月初旬には、脅威アクターが侵害されたベンダーの SSL VPN アカウントを悪用してドメインコントローラーへのアクセスを獲得した別の攻撃が観測されました。
RDP(リモートデスクトッププロトコル)経由で接続した後、攻撃者は PowerShell スクリプトを使用して Net Monitor for Employees Professional をインストールし、ベンダーのウェブサイトからインストーラーを静かにダウンロードしました。
攻撃者はプロセスとサービスの名前を変更して Microsoft の OneDrive を模倣することでソフトウェアの正体を隠し、検出を困難にしました。
その直後、攻撃者はネットワーク内のバックアップの永続性を提供するセカンダリアクセスポイントとして SimpleHelp をインストールしました。
SimpleHelp は暗号通貨ウォレットと取引所の活動に対するアラートをトリガーするように構成されており、攻撃者の金融窃盗への関心を示しています。
この二重ツールアプローチにより、彼らは Crazy ランサムウェアを含む追加の悪意のあるツールを展開しながら、機密性の高い金融活動を監視することができました。
これらのケースは、脅威アクターが Net Monitor for Employees Professional や SimpleHelp などの市販ソフトウェアを悪意のある目的で使用する憂慮すべき傾向を浮き彫りにしています。
これらのツールは正規のビジネス運用向けに販売されていますが、その機能によりリモートアクセストロイの木馬(RAT)として使用するのに理想的なものとなっています。
このシナリオでは、攻撃者は通常のシステムプロセス内に自らの存在を隠蔽することに成功し、検出をより困難にしました。
これらの脅威を軽減するために、組織は境界防御を強化し、堅牢なエンドポイント検出および応答(EDR)ツールを採用し、厳格なアイデンティティおよびアクセス管理ポリシーを実装する必要があります。
さらに、従業員監視ソフトウェアと RMM ツールに対する警戒を維持することが重要です。攻撃者が初期アクセスを獲得した場合、その正規の使用は悪意のある目的のために容易に悪用される可能性があるためです。
翻訳元: https://cyberpress.org/employee-monitoring-software-exploited/