Các hacker tấn công bằng ransomware nhằm vào phần mềm giám sát nhân viên để truy cập vào máy tính

Tóm tắt ngắn gọn

• Các công cụ phần mềm giám sát nơi làm việc đang bị tấn công bởi hacker ransomware, theo công ty an ninh mạng Huntress.
• Một báo cáo mới phát hiện rằng các tác nhân đe dọa đã kết hợp phần mềm giám sát nhân viên với các công cụ quản lý từ xa để duy trì quyền truy cập trong hệ thống của các công ty.
• Việc sử dụng rộng rãi ‘bossware’ đã mở rộng bề mặt tấn công tiềm năng cho các doanh nghiệp.

Một công cụ giám sát nhân viên phổ biến đang bị hacker nhắm tới và sử dụng làm bàn đạp cho các cuộc tấn công ransomware, theo một báo cáo mới từ công ty an ninh mạng Huntress. Vào cuối tháng 1 và đầu tháng 2 năm 2026, nhóm phản ứng chiến thuật của Huntress đã điều tra hai vụ xâm nhập trong đó kẻ tấn công kết hợp Net Monitor for Employees Professional với SimpleHelp, một công cụ truy cập từ xa do bộ phận IT sử dụng.

Tóm tắt nhanh 📌 Cybercriminals biến phần mềm giám sát nhân viên thành RAT, kết hợp với SimpleHelp, săn lùng crypto, và cố gắng phát tán ransomware Crazy.

Những người đằng sau bài viết này: @RussianPanda9xx, @sudo_Rem, @Purp1eW0lf, + @Antonlovesdnbhttps://t.co/3c6qbD7l3g

— Huntress (@HuntressLabs) ngày 13 tháng 2 năm 2026

Theo báo cáo, các hacker đã sử dụng phần mềm giám sát nhân viên để xâm nhập vào hệ thống của công ty và dùng SimpleHelp để đảm bảo họ có thể duy trì quyền truy cập ngay cả khi một điểm truy cập bị đóng. Hoạt động này cuối cùng dẫn đến một nỗ lực triển khai ransomware Crazy. “Các trường hợp này làm nổi bật xu hướng ngày càng tăng của các tác nhân đe dọa lợi dụng phần mềm hợp pháp, có sẵn thương mại để hòa nhập vào môi trường doanh nghiệp,” các nhà nghiên cứu Huntress viết. “Net Monitor for Employees Professional, mặc dù được quảng cáo là công cụ giám sát lực lượng lao động, nhưng cung cấp các khả năng cạnh tranh với các Trojan truy cập từ xa truyền thống: kết nối ngược qua các cổng phổ biến, giả mạo tên tiến trình và dịch vụ, thực thi shell tích hợp, và khả năng triển khai âm thầm qua các cơ chế cài đặt Windows tiêu chuẩn. Khi kết hợp với SimpleHelp như một kênh truy cập phụ… kết quả là một bàn đạp bền vững, hai công cụ khó phân biệt với phần mềm quản trị hợp pháp.” Công ty cũng nhấn mạnh rằng, dù các công cụ này có thể mới mẻ, nguyên nhân gốc rễ vẫn là các biên giới bị lỗ hổng và vệ sinh danh tính yếu, bao gồm các tài khoản VPN bị xâm phạm. Sự gia tăng của “bossware” Việc sử dụng các loại “bossware” gọi là khác nhau trên toàn cầu nhưng phổ biến rộng rãi. Khoảng một phần ba các công ty tại Anh sử dụng phần mềm giám sát nhân viên, theo một báo cáo năm ngoái, trong khi tại Mỹ, con số ước tính khoảng 60%.

Phần mềm này thường được triển khai để theo dõi năng suất, ghi lại hoạt động và chụp ảnh màn hình của nhân viên. Tuy nhiên, việc sử dụng nó gây tranh cãi, cũng như các tuyên bố về việc liệu nó có thực sự đo lường năng suất nhân viên hay chỉ dựa trên các tiêu chí tùy ý như nhấp chuột hoặc gửi email. Dù vậy, sự phổ biến của chúng khiến các công cụ này trở thành mục tiêu hấp dẫn cho các kẻ tấn công. Net Monitor for Employees Professional, do NetworkLookout phát triển, được quảng cáo để theo dõi năng suất nhân viên nhưng cung cấp khả năng vượt xa việc giám sát màn hình thụ động, bao gồm kết nối shell ngược, điều khiển máy tính từ xa, quản lý tệp và khả năng tùy chỉnh tên dịch vụ và tiến trình trong quá trình cài đặt. Những tính năng này, được thiết kế cho mục đích quản trị hợp pháp, có thể cho phép các tác nhân đe dọa hòa nhập vào môi trường doanh nghiệp mà không cần triển khai phần mềm độc hại truyền thống. Trong vụ việc đầu tiên do Huntress mô tả, các nhà điều tra đã được cảnh báo bởi sự thao túng tài khoản đáng ngờ trên một máy chủ, bao gồm nỗ lực vô hiệu hóa tài khoản Guest của hệ thống và kích hoạt tài khoản Administrator tích hợp. Nhiều lệnh “net” đã được thực thi để liệt kê người dùng, đặt lại mật khẩu và tạo các tài khoản bổ sung. Các nhà phân tích đã truy nguyên hoạt động này đến một tệp nhị phân liên quan đến Net Monitor for Employees, đã khởi tạo một ứng dụng pseudo-terminal cho phép thực thi lệnh. Công cụ này đã tải xuống một tệp nhị phân SimpleHelp từ một địa chỉ IP bên ngoài, sau đó kẻ tấn công cố gắng can thiệp vào Windows Defender và triển khai nhiều phiên bản của Crazy ransomware, thuộc họ VoidCrypt. Trong vụ xâm nhập thứ hai, được quan sát vào đầu tháng 2, các hacker đã xâm nhập qua tài khoản VPN SSL của một nhà cung cấp bị xâm phạm và kết nối qua Remote Desktop Protocol tới một máy chủ điều khiển miền. Từ đó, họ cài đặt agent Net Monitor trực tiếp từ trang web của nhà cung cấp. Các hacker đã tùy chỉnh tên dịch vụ và tiến trình để mô phỏng các thành phần hợp pháp của Windows, giả mạo dịch vụ liên quan đến OneDrive và đổi tên tiến trình đang chạy. Sau đó, họ cài đặt SimpleHelp như một kênh bền vững bổ sung và cấu hình các kích hoạt theo từ khóa nhằm mục tiêu ví tiền điện tử, sàn giao dịch và nền tảng thanh toán, cũng như các công cụ truy cập từ xa khác. Huntress cho biết hoạt động này cho thấy rõ dấu hiệu động cơ tài chính và cố ý tránh né phòng thủ.

Network LookOut, công ty đứng sau Net Monitor for Employee, nói với Decrypt rằng agent chỉ có thể được cài đặt bởi người dùng đã có quyền quản trị trên máy tính nơi cài đặt agent. “Không có quyền quản trị, việc cài đặt là không thể,” họ nói qua email. “Vì vậy, nếu bạn không muốn phần mềm của chúng tôi được cài đặt trên máy tính, hãy đảm bảo rằng quyền truy cập quản trị không được cấp cho những người không có thẩm quyền, vì quyền quản trị cho phép cài đặt bất kỳ phần mềm nào.” Chưa phải lần đầu hacker cố gắng triển khai ransomware hoặc đánh cắp thông tin qua bossware. Vào tháng 4 năm 2025, các nhà nghiên cứu tiết lộ rằng WorkComposer, một ứng dụng giám sát nơi làm việc được hơn 200.000 người sử dụng, đã để lộ hơn 21 triệu ảnh chụp màn hình theo thời gian thực trong một kho lưu trữ đám mây không an toàn, có thể làm rò rỉ dữ liệu doanh nghiệp nhạy cảm, thông tin đăng nhập và liên lạc nội bộ.