สรุปโดยย่อ
- เครื่องมือซอฟต์แวร์ตรวจสอบการทำงานในที่ทำงานถูกโจมตีโดยแฮกเกอร์เรียกค่าไถ่ตามเป้าหมาย ตามรายงานจากบริษัทด้านความปลอดภัยไซเบอร์ Huntress
- รายงานใหม่พบว่าผู้คุกคามเชื่อมโยงซอฟต์แวร์ตรวจสอบพนักงานกับเครื่องมือจัดการระยะไกลเพื่อให้สามารถคงอยู่ในระบบของบริษัทได้
- การใช้งาน ‘bossware’ อย่างแพร่หลายได้ขยายพื้นที่เสี่ยงในการโจมตีสำหรับองค์กร
เครื่องมือการตรวจสอบพนักงานยอดนิยมถูกโจมตีโดยแฮกเกอร์และใช้เป็นจุดตั้งต้นสำหรับการโจมตีด้วย ransomware ตามรายงานใหม่จากบริษัทด้านความปลอดภัยไซเบอร์ Huntress
ในปลายเดือนมกราคมและต้นเดือนกุมภาพันธ์ 2026 ทีมตอบสนองเชิงกลยุทธ์ของ Huntress ได้สืบสวนการบุกรุกสองครั้งที่ผู้โจมตีผสมผสาน Net Monitor for Employees Professional กับ SimpleHelp ซึ่งเป็นเครื่องมือเข้าถึงระยะไกลที่ใช้โดยฝ่ายไอที
สรุปสั้น 📌 อาชญากรไซเบอร์เปลี่ยนซอฟต์แวร์ตรวจสอบพนักงานเป็น RAT ผนวกกับ SimpleHelp ค้นหาเหรียญคริปโต และพยายามติดตั้ง Crazy ransomware
ผู้เขียนที่มีจรรยาบรรณไม่ดีในบทความนี้: @RussianPanda9xx, @sudo_Rem, @Purp1eW0lf, + @Antonlovesdnbhttps://t.co/3c6qbD7l3g
— Huntress (@HuntressLabs) 13 กุมภาพันธ์ 2026
จากรายงาน แฮกเกอร์ใช้ซอฟต์แวร์ตรวจสอบพนักงานเพื่อเข้าไปในระบบของบริษัท และใช้ SimpleHelp เพื่อให้แน่ใจว่าพวกเขายังคงอยู่ในระบบแม้ว่าจุดเข้าใช้งานหนึ่งจะถูกปิดก็ตาม กิจกรรมนี้ในที่สุดนำไปสู่ความพยายามติดตั้ง Crazy ransomware
“กรณีเหล่านี้แสดงให้เห็นแนวโน้มที่เพิ่มขึ้นของผู้คุกคามที่ใช้ซอฟต์แวร์ที่ถูกต้องตามกฎหมายและมีจำหน่ายเชิงพาณิชย์เพื่อกลมกลืนเข้าไปในสภาพแวดล้อมขององค์กร” นักวิจัย Huntress เขียน
“Net Monitor for Employees Professional ซึ่งโฆษณาเป็นเครื่องมือสำหรับตรวจสอบการทำงานของพนักงาน ให้ความสามารถที่เทียบเท่ากับ Trojan เข้าถึงระยะไกลแบบดั้งเดิม: การเชื่อมต่อย้อนกลับผ่านพอร์ตทั่วไป การปลอมแปลงชื่อกระบวนการและบริการ การรัน shell ในตัว และความสามารถในการติดตั้งอย่างเงียบๆ ผ่านกลไกการติดตั้ง Windows มาตรฐาน เมื่อผนวกกับ SimpleHelp เป็นช่องทางเข้าถึงรอง… ผลลัพธ์คือจุดตั้งต้นที่แข็งแกร่งและสองเครื่องมือที่ยากต่อการแยกแยะจากซอฟต์แวร์บริหารจัดการที่ถูกต้องตามกฎหมาย”
บริษัทเสริมว่า แม้เครื่องมือเหล่านี้อาจเป็นนวัตกรรมใหม่ แต่สาเหตุหลักยังคงเป็นการเปิดเผยของ perimeter และจุดอ่อนด้านตัวตน รวมถึงบัญชี VPN ที่ถูกบุกรุก
การเพิ่มขึ้นของ “bossware”
การใช้งานที่เรียกว่า “bossware” แตกต่างกันไปในแต่ละประเทศแต่ก็แพร่หลาย โดยประมาณหนึ่งในสามของบริษัทในสหราชอาณาจักรใช้ซอฟต์แวร์ตรวจสอบพนักงาน ตามรายงานเมื่อปีที่แล้ว ในขณะที่ในสหรัฐอเมริกา ค่าประมาณอยู่ที่ประมาณ 60%
ซอฟต์แวร์นี้มักถูกนำไปใช้เพื่อติดตามผลผลิต บันทึกกิจกรรม และจับภาพหน้าจอของพนักงาน แต่ก็เป็นที่ถกเถียงกัน เนื่องจากมีข้อกล่าวหาเกี่ยวกับความสามารถในการจับภาพผลผลิตของพนักงานจริงหรือเพียงแค่ประเมินผลตามเกณฑ์ที่ไม่แน่นอน เช่น การคลิกเมาส์หรืออีเมลที่ส่ง
อย่างไรก็ตาม ความนิยมของเครื่องมือเหล่านี้ทำให้เป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี Net Monitor for Employees Professional ซึ่งพัฒนาโดย NetworkLookout โฆษณาเพื่อการติดตามผลผลิตของพนักงาน แต่ก็มีความสามารถมากกว่าการดูหน้าจอแบบ passive รวมถึงการเชื่อมต่อ shell ย้อนกลับ ควบคุมเดสก์ท็อประยะไกล การจัดการไฟล์ และความสามารถในการปรับแต่งชื่อบริการและกระบวนการในระหว่างการติดตั้ง
เครื่องมือนี้ ซึ่งออกแบบมาเพื่อการใช้งานด้านบริหารจัดการที่ถูกต้องตามกฎหมาย สามารถช่วยให้ผู้คุกคามกลมกลืนเข้าไปในสภาพแวดล้อมขององค์กรโดยไม่ต้องใช้มัลแวร์แบบดั้งเดิม
ในกรณีแรกที่ Huntress รายงาน นักสืบได้รับแจ้งจากการจัดการบัญชีที่น่าสงสัยบนโฮสต์ รวมถึงความพยายามปิดใช้งานบัญชี Guest ของระบบและเปิดใช้งานบัญชีผู้ดูแลระบบในตัว การดำเนินการคำสั่ง “net” หลายคำสั่งเพื่อระบุผู้ใช้ รีเซ็ตรหัสผ่าน และสร้างบัญชีเพิ่มเติม
นักวิเคราะห์ติดตามกิจกรรมไปยังไบนารีที่เชื่อมโยงกับ Net Monitor for Employees ซึ่งได้สร้างแอปพลิเคชัน pseudo-terminal ที่อนุญาตให้รันคำสั่ง เครื่องมือนี้ดาวน์โหลดไบนารี SimpleHelp จาก IP ภายนอก หลังจากนั้นผู้โจมตีพยายามแก้ไข Windows Defender และติดตั้งหลายเวอร์ชันของ Crazy ransomware ซึ่งเป็นส่วนหนึ่งของครอบครัว VoidCrypt
ในกรณีที่สอง ซึ่งสังเกตได้ในต้นเดือนกุมภาพันธ์ ผู้โจมตีเข้าไปในระบบผ่านบัญชี VPN SSL ของผู้ขายที่ถูกบุกรุก และเชื่อมต่อผ่าน Remote Desktop Protocol ไปยัง domain controller จากนั้น ติดตั้งตัวแทน Net Monitor โดยตรงจากเว็บไซต์ของผู้ขาย ผู้โจมตีปรับแต่งชื่อบริการและกระบวนการให้เหมือนกับส่วนประกอบของ Windows ที่ถูกต้องตามกฎหมาย โดยปลอมเป็น OneDrive และเปลี่ยนชื่อกระบวนการที่ทำงานอยู่
จากนั้น ติดตั้ง SimpleHelp เป็นช่องทางถาวรเพิ่มเติม และตั้งค่าการตรวจสอบโดยใช้คำสำคัญเพื่อเน้นเป้าหมายเป็นกระเป๋าเงินคริปโต สถานีซื้อขาย และแพลตฟอร์มชำระเงิน รวมถึงเครื่องมือเข้าถึงระยะไกลอื่นๆ Huntress ระบุว่ากิจกรรมนี้แสดงให้เห็นถึงแรงจูงใจด้านการเงินและความพยายามหลบเลี่ยงการป้องกันอย่างชัดเจน
บริษัท Network LookOut ซึ่งเป็นผู้พัฒนา Net Monitor for Employee บอกกับ Decrypt ว่า ตัวแทนสามารถติดตั้งได้เฉพาะโดยผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบอยู่แล้วบนคอมพิวเตอร์ที่ต้องการติดตั้ง “โดยไม่มีสิทธิ์ผู้ดูแล ระบบไม่สามารถติดตั้งได้” ทางอีเมล
“ดังนั้น หากคุณไม่ต้องการให้ซอฟต์แวร์ของเราได้รับการติดตั้งบนคอมพิวเตอร์ กรุณาอย่าให้สิทธิ์ผู้ดูแลระบบแก่ผู้ใช้ที่ไม่ได้รับอนุญาต เพราะสิทธิ์ผู้ดูแลระบบอนุญาตให้ติดตั้งซอฟต์แวร์ใดก็ได้”
นี่ไม่ใช่ครั้งแรกที่แฮกเกอร์พยายามติดตั้ง ransomware หรือขโมยข้อมูลผ่าน bossware ในเดือนเมษายน 2025 นักวิจัยเปิดเผยว่า WorkComposer ซึ่งเป็นแอปพลิเคชันเฝ้าระวังในที่ทำงานที่ใช้โดยผู้คนมากกว่า 200,000 ราย ได้ปล่อยภาพหน้าจอแบบเรียลไทม์กว่า 21 ล้านภาพในคลาวด์สาธารณะที่ไม่ปลอดภัย ซึ่งอาจทำให้ข้อมูลธุรกิจที่เป็นความลับ รหัสผ่าน และการสื่อสารภายในรั่วไหล
