文章总结： Crazy勒索软件团伙滥用NetMonitorforEmployeesProfessional与SimpleHelp远程工具入侵企业。攻击者利用泄露的SSLVPN凭证进入，部署监控代理实现持久化、命令执行及禁用Defender，并监控加密货币钱包。建议企业监控未授权工具安装并对远程服务强制启用MFA。 综合评分： 82 文章分类： 威胁情报,恶意软件,应急响应,安全工具

Crazy勒索软件团伙滥用监控与远程工具实施网络入侵

胡金鱼 胡金鱼

嘶吼专业版

2026年2月25日 14:01 北京

Crazy 勒索软件团伙成员正滥用合法的员工监控软件与 SimpleHelp 远程支持工具，在企业网络中维持持久化控制、规避检测，并为部署勒索软件做准备。

安全研究人员在调查多起安全事件时发现了上述入侵行为：攻击者会在攻陷的网络中部署 Net Monitor for Employees Professional 员工监控软件，并配合 SimpleHelp 实现远程访问，同时将自身行为伪装成正常的管理员操作。

在其中一起入侵事件中，攻击者通过 Windows 安装程序 msiexec.exe 安装了该员工监控工具，直接从开发者官网向受感染系统下发监控代理。

工具安装后，攻击者可远程查看受害者桌面、传输文件并执行命令，实质上获得了受侵系统的完整交互式控制权限。

攻击者还通过以下命令尝试启用本地管理员账户：

net user administrator /active:yes

为实现冗余持久化，攻击者通过 PowerShell 命令下载并安装 SimpleHelp 远程访问客户端，使用的文件名模仿了合法的 Visual Studio 进程 vshost.exe。载荷随后被执行，即便员工监控工具被清除，攻击者仍可通过该渠道保持远程访问。

SimpleHelp 二进制文件有时还会使用伪装成 OneDrive 相关的文件名：

C:\ProgramData\OneDriveSvc\OneDriveSvc.exe

攻击者利用这款监控软件远程执行命令、传输文件，并实时监控系统活动。

研究人员还观察到，攻击者会尝试停止并删除相关服务，以此禁用 Windows Defender。

禁用 Windows Defender

在某起事件中，攻击者在 SimpleHelp 中配置了监控规则：当设备访问加密货币钱包或使用远程管理工具时立即告警，为部署勒索软件和窃取加密货币做准备。

日志显示，代理程序持续针对加密货币相关关键词循环触发与重置监控规则，包括钱包服务（MetaMask、Exodus、wallet、blockchain）、交易平台（Binance、Bybit、KuCoin、Bitrue、Poloniex、bc.game、Noones）、区块链浏览器（Etherscan、Bscscan）以及支付平台 Payoneer。

除此之外，代理还会监控远程访问工具关键词，包括 RDP、AnyDesk、UltraView、TeamViewer、VNC 等，目的大概率是检测是否有人正在连接受控机器。

SimpleHelp 代理所监控的关键词

同时使用多款远程访问工具为攻击者提供了访问冗余，确保即便其中一款被发现或删除，仍能掌控目标系统。

尽管只有一起事件最终部署了 Crazy 勒索软件，但研究人员认为两起事件背后是同一威胁组织所为。据观察，两起事件复用了相同文件名（vhost.exe）与重叠的 C2 基础设施，强烈表明入侵由同一操作者或团伙实施。

在勒索软件入侵事件中，滥用合法远程管理与监控工具已愈发普遍，因为这类工具可让攻击者的流量隐藏在正常业务流量中，不易被发现。为此，企业应严密监控未经授权的远程监控与支持工具安装行为。此外，由于两起入侵均始于 SSL VPN 凭证泄露，需对所有用于访问内网的远程服务强制启用多因素认证（MFA）。

参考及来源：https://www.bleepingcomputer.com/news/security/crazy-ransomware-gang-abuses-employee-monitoring-tool-in-attacks/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《Crazy勒索软件团伙滥用监控与远程工具实施网络入侵》