Коротко
- Інструменти для моніторингу робочого місця піддаються атакам з використанням програм-вимагачів, повідомляє кібербезпекова компанія Huntress.
- Новий звіт виявив, що зловмисники поєднували програмне забезпечення для моніторингу співробітників з інструментами віддаленого управління, щоб отримати стійкість у системах компаній.
- Широке використання «босвару» розширило потенційний обсяг атак для підприємств.
Популярний інструмент для моніторингу працівників піддається атакам хакерів і використовується як точка входу для програм-вимагачів, згідно з новим звітом від кібербезпекової компанії Huntress.
Наприкінці січня та на початку лютого 2026 року команда тактичної реакції Huntress досліджувала два зломи, у яких зловмисники поєднали Net Monitor for Employees Professional з SimpleHelp, інструментом віддаленого доступу, який використовують ІТ-відділи.
TL;DR 📌 Кіберзлочинці перетворили програму моніторингу співробітників у RAT, поєднали її з SimpleHelp, шукали криптовалюту і намагалися запустити Crazy-вимагач.
Автори цієї статті: @RussianPanda9xx, @sudo_Rem, @Purp1eW0lf, + @Antonlovesdnbhttps://t.co/3c6qbD7l3g
— Huntress (@HuntressLabs) 13 лютого 2026
Згідно з звітом, хакери використовували програмне забезпечення для моніторингу співробітників, щоб проникнути у системи компаній, а SimpleHelp — щоб залишитися там навіть у разі закриття одного з точок доступу. Це призвело до спроби розгортання Crazy-вимагача.
«Ці випадки підкреслюють зростаючу тенденцію зловмисників використовувати легітимне, комерційно доступне програмне забезпечення для маскування у корпоративних середовищах», — написали дослідники Huntress.
«Net Monitor for Employees Professional, хоча і позиціонується як інструмент для моніторингу працівників, має можливості, що конкурують із традиційними троянами віддаленого доступу: зворотні з’єднання через поширені порти, маскування імен процесів і служб, вбудований запуск оболонки та можливість безшумного розгортання через стандартні механізми встановлення Windows. У поєднанні з SimpleHelp як вторинним каналом доступу… результат — стійка, двоконтурна точка входу, яку важко відрізнити від легітимного адміністративного програмного забезпечення».
Компанія додала, що хоча інструменти можуть бути новими, корінь проблеми залишається у відкритих периметрах і слабкій ідентифікаційній гігієні, включаючи зламані VPN-акаунти.
Зростання «босвару»
Використання так званого «босвару» варіюється у світі, але є поширеним. За даними минулорічного звіту, близько третини компаній у Великій Британії використовують програмне забезпечення для моніторингу співробітників, тоді як у США ця цифра оцінюється приблизно у 60%.
Це програмне забезпечення зазвичай застосовується для відстеження продуктивності, логування активності та зняття скріншотів екранів працівників. Але його використання викликає суперечки, так само як і твердження щодо того, чи справді воно фіксує продуктивність співробітників, чи оцінює їх за довільними критеріями, такими як кліки мишею або надіслані електронні листи.
Проте популярність таких інструментів робить їх привабливими для зловмисників. Net Monitor for Employees Professional, розроблений компанією NetworkLookout, позиціонується як засіб для відстеження продуктивності працівників, але має можливості, що виходять за межі пасивного моніторингу екрана, включаючи зворотні shell-з’єднання, віддалене керування робочим столом, управління файлами та можливість налаштовувати імена служб і процесів під час встановлення.
Ці функції, створені для легітимного адміністративного використання, можуть дозволити зловмисникам маскуватися у корпоративних середовищах без розгортання традиційного шкідливого програмного забезпечення.
У першому випадку, описаному Huntress, слідчі були попереджені підозрілою маніпуляцією облікових записів на хості, зокрема спробами відключити гостьовий обліковий запис і активувати вбудований обліковий запис адміністратора. Було виконано кілька команд «net» для переліку користувачів, скидання паролів і створення додаткових облікових записів.
Аналіз показав, що активність була пов’язана з бінарним файлом, прив’язаним до Net Monitor for Employees, який запустив псевдотермінал для виконання команд. Інструмент завантажив бінарний файл SimpleHelp з зовнішньої IP-адреси, після чого зловмисник намагався змінити налаштування Windows Defender і розгорнути кілька версій Crazy-вимагача, що належать сімейству VoidCrypt.
У другому випадку, зафіксованому на початку лютого, зловмисники проникли через зламаний обліковий запис VPN постачальника і підключилися через протокол віддаленого робочого столу до контролера домену. Звідти вони встановили агент Net Monitor безпосередньо з сайту постачальника. Зловмисники налаштували імена служб і процесів так, щоб імітувати легітимні компоненти Windows, маскуючи службу під OneDrive і перейменовуючи запущений процес.
Після цього вони встановили SimpleHelp як додатковий стійкий канал і налаштували тригери моніторингу за ключовими словами, що цілиться у криптовалютні гаманці, біржі та платформи платежів, а також інші інструменти віддаленого доступу. Huntress зазначила, що активність мала явні ознаки фінансової мотивації та навмисного ухилення від захисту.
Network LookOut, компанія, яка створила Net Monitor for Employee, повідомила Decrypt, що агент може бути встановлений лише користувачем із адміністративними правами на комп’ютері, де він має бути встановлений. «Без адміністративних прав встановлення неможливе», — повідомили вони електронною поштою.
«Тому, якщо ви не хочете, щоб наше програмне забезпечення було встановлено на комп’ютер, переконайтеся, що адміністративний доступ не надається неавторизованим користувачам, оскільки адміністративний доступ дозволяє встановлювати будь-яке програмне забезпечення».
Це не перший випадок, коли хакери намагаються розгорнути програму-вимагач або викрасти інформацію через босвар. У квітні 2025 року дослідники виявили, що WorkComposer, програма для моніторингу робочого місця, яку використовували понад 200 000 людей, залишила понад 21 мільйон скріншотів у незахищеному хмарному сховищі, що потенційно могло призвести до витоку конфіденційних бізнес-даних, облікових записів і внутрішніх комунікацій.
