สรุปโดยย่อ
* เครื่องมือซอฟต์แวร์ตรวจสอบการทำงานในที่ทำงานถูกโจมตีโดยแฮกเกอร์เรียกค่าไถ่ตามเป้าหมาย ตามรายงานจากบริษัทด้านความปลอดภัยไซเบอร์ Huntress
* รายงานใหม่พบว่าผู้คุกคามเชื่อมโยงซอฟต์แวร์ตรวจสอบพนักงานกับเครื่องมือจัดการระยะไกลเพื่อให้สามารถคงอยู่ในระบบของบริษัทได้
* การใช้งาน ‘bossware’ อย่างแพร่หลายได้ขยายพื้นที่เสี่ยงในการโจมตีสำหรับองค์กร
เครื่องมือการตรวจสอบพนักงานยอดนิยมถูกโจมตีโดยแฮกเกอร์และใช้เป็นจุดตั้งต้นสำหรับการโจมตีด้วยค่าไถ่ ตามรายงานใหม่จากบริษัทด้านความปลอดภัยไซเบอร์ Huntress
ในปลายเดือนมกราคมและต้นเดือนกุมภาพันธ์ 2026 ทีมตอบสนองเชิงยุทธวิธีของ Huntress ได้สืบสวนการบุกรุกสองครั้งที่ผู้โจมตีผสมผสาน Net Monitor for Employees Professional กับ SimpleHelp ซึ่งเป็นเครื่องมือเข้าถึงระยะไกลที่ใช้โดยฝ่ายไอที
> สรุปสั้น 📌 อาชญากรไซเบอร์เปลี่ยนซอฟต์แวร์ตรวจสอบพนักงานเป็น RAT ผนวกกับ SimpleHelp ค้นหาคริปโต และพยายามติดตั้ง Crazy ransomware
>
> ผู้เขียนที่มีจริยธรรมและกล้าหาญในบทความนี้: @RussianPanda9xx, @sudo_Rem, @Purp1eW0lf, + @Antonlovesdnbhttps://t.co/3c6qbD7l3g
>
> — Huntress (@HuntressLabs) 13 กุมภาพันธ์ 2026
จากรายงาน แฮกเกอร์ใช้ซอฟต์แวร์ตรวจสอบพนักงานเพื่อเข้าไปในระบบของบริษัท และใช้ SimpleHelp เพื่อให้แน่ใจว่าพวกเขายังคงอยู่ในระบบแม้ว่าจุดเข้าใช้งานหนึ่งจะถูกปิดก็ตาม กิจกรรมนี้ในที่สุดนำไปสู่ความพยายามติดตั้ง Crazy ransomware
“กรณีเหล่านี้แสดงให้เห็นแนวโน้มที่เพิ่มขึ้นของผู้คุกคามที่ใช้ซอฟต์แวร์ที่ถูกต้องตามกฎหมายและมีจำหน่ายเชิงพาณิชย์เพื่อกลมกลืนเข้าไปในสภาพแวดล้อมขององค์กร” นักวิจัย Huntress เขียน
“Net Monitor for Employees Professional ซึ่งตลาดเป็นเครื่องมือการตรวจสอบการทำงานของพนักงาน แม้จะถูกตลาดว่าเป็นเครื่องมือการตรวจสอบพนักงาน แต่ก็มีความสามารถที่เทียบเท่ากับ Trojan เข้าถึงระยะไกลแบบดั้งเดิม: การเชื่อมต่อย้อนกลับผ่านพอร์ตทั่วไป การปลอมชื่อกระบวนการและบริการ การรัน shell ในตัว และความสามารถในการติดตั้งอย่างเงียบๆ ผ่านกลไกการติดตั้ง Windows มาตรฐาน เมื่อผนวกกับ SimpleHelp เป็นช่องทางเข้าถึงสำรอง ผลลัพธ์คือจุดตั้งต้นที่แข็งแกร่งและซับซ้อน ซึ่งยากต่อการแยกแยะออกจากซอฟต์แวร์บริหารจัดการที่ถูกต้องตามกฎหมาย”
บริษัทเสริมว่า แม้เครื่องมือเหล่านี้อาจเป็นนวัตกรรมใหม่ สาเหตุหลักยังคงเป็นการเปิดเผยของขอบเขตและการอ่อนแอของการจัดการตัวตน รวมถึงบัญชี VPN ที่ถูกบุกรุก
การเพิ่มขึ้นของ “bossware”
การใช้งานที่เรียกว่า “bossware” แตกต่างกันไปในแต่ละประเทศ แต่ก็แพร่หลาย โดยประมาณหนึ่งในสามของบริษัทในสหราชอาณาจักรใช้ซอฟต์แวร์ตรวจสอบพนักงาน ตามรายงานเมื่อปีที่แล้ว ในขณะที่ในสหรัฐอเมริกาประมาณร้อยละ 60
ซอฟต์แวร์นี้มักถูกนำไปใช้เพื่อติดตามผลผลิต บันทึกกิจกรรม และจับภาพหน้าจอของพนักงาน แต่ก็เป็นที่ถกเถียงกัน เนื่องจากมีข้อกล่าวอ้างว่ามันไม่ได้วัดผลผลิตของพนักงานจริงๆ หรืออาจวัดตามเกณฑ์ที่ไม่แน่นอน เช่น การคลิกเมาส์หรืออีเมลที่ส่ง
อย่างไรก็ตาม ความนิยมของเครื่องมือเหล่านี้ทำให้เป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี Net Monitor for Employees Professional ซึ่งพัฒนาโดย NetworkLookout ถูกตลาดว่าเป็นเครื่องมือสำหรับติดตามผลผลิตของพนักงาน แต่ก็มีความสามารถมากกว่าการดูหน้าจอแบบ passive รวมถึงการเชื่อมต่อ shell ย้อนกลับ ควบคุมเดสก์ท็อประยะไกล จัดการไฟล์ และปรับแต่งชื่อบริการและกระบวนการในระหว่างการติดตั้ง
คุณสมบัติเหล่านี้ ซึ่งออกแบบมาเพื่อการใช้งานด้านบริหารจัดการที่ถูกต้องตามกฎหมาย สามารถช่วยให้ผู้คุกคามกลมกลืนเข้าไปในสภาพแวดล้อมขององค์กรโดยไม่ต้องใช้มัลแวร์แบบดั้งเดิม
ในกรณีแรกที่ Huntress รายงาน นักสืบได้รับแจ้งจากการจัดการบัญชีที่น่าสงสัยบนโฮสต์ รวมถึงความพยายามปิดใช้งานบัญชี Guest ของระบบและเปิดใช้งานบัญชีผู้ดูแลระบบในตัว การดำเนินการคำสั่ง “net” หลายคำสั่งเพื่อแสดงรายชื่อผู้ใช้ รีเซ็ตรหัสผ่าน และสร้างบัญชีเพิ่มเติม
นักวิเคราะห์ติดตามกิจกรรมไปยังไบนารีที่เชื่อมโยงกับ Net Monitor for Employees ซึ่งได้สร้างแอปพลิเคชัน pseudo-terminal ที่อนุญาตให้รันคำสั่ง เครื่องมือนี้ดาวน์โหลดไบนารี SimpleHelp จาก IP ภายนอก หลังจากนั้นผู้โจมตีพยายามแก้ไข Windows Defender และติดตั้งหลายเวอร์ชันของ Crazy ransomware ซึ่งเป็นส่วนหนึ่งของครอบครัว VoidCrypt
ในกรณีที่สอง ซึ่งสังเกตได้ในต้นเดือนกุมภาพันธ์ ผู้โจมตีเข้าไปในระบบผ่านบัญชี VPN SSL ของผู้ขายที่ถูกบุกรุก และเชื่อมต่อผ่าน Remote Desktop Protocol ไปยังโดเมนคอนโทรลเลอร์ จากนั้นติดตั้งตัวแทน Net Monitor โดยตรงจากเว็บไซต์ของผู้ขาย ผู้โจมตีปรับแต่งชื่อบริการและกระบวนการให้เหมือนกับส่วนประกอบของ Windows ที่ถูกต้องตามกฎหมาย โดยปลอมเป็น OneDrive และเปลี่ยนชื่อกระบวนการที่กำลังรัน
จากนั้นพวกเขาติดตั้ง SimpleHelp เป็นช่องทางคงอยู่ถาวรเพิ่มเติม และตั้งค่าการตรวจสอบโดยใช้คำสำคัญเพื่อเน้นเป้าหมายไปยังกระเป๋าเงินคริปโต สถานีแลกเปลี่ยน และแพลตฟอร์มชำระเงิน รวมถึงเครื่องมือเข้าถึงระยะไกลอื่นๆ Huntress ระบุว่ากิจกรรมนี้แสดงให้เห็นถึงแรงจูงใจทางการเงินและความพยายามหลบเลี่ยงการป้องกันอย่างชัดเจน
บริษัท Network LookOut ซึ่งเป็นผู้พัฒนา Net Monitor for Employee บอกกับ Decrypt ว่า ตัวแทนสามารถติดตั้งได้เฉพาะโดยผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบอยู่แล้วบนคอมพิวเตอร์ที่ต้องการติดตั้ง “โดยไม่มีสิทธิ์ผู้ดูแลระบบ การติดตั้งจะเป็นไปไม่ได้” ทางอีเมล
“ดังนั้น หากคุณไม่ต้องการให้ซอฟต์แวร์ของเราได้รับการติดตั้งบนคอมพิวเตอร์ กรุณาแน่ใจว่าไม่ได้ให้สิทธิ์ผู้ดูแลระบบแก่ผู้ใช้ที่ไม่ได้รับอนุญาต เพราะสิทธิ์ผู้ดูแลระบบอนุญาตให้ติดตั้งซอฟต์แวร์ใดก็ได้”
นี่ไม่ใช่ครั้งแรกที่แฮกเกอร์พยายามติดตั้ง ransomware หรือขโมยข้อมูลผ่าน bossware ในเดือนเมษายน 2025 นักวิจัยเปิดเผยว่า WorkComposer ซึ่งเป็นแอปพลิเคชันเฝ้าระวังในที่ทำงานที่ใช้โดยผู้คนมากกว่า 200,000 ราย ได้ปล่อยภาพหน้าจอแบบเรียลไทม์กว่า 21 ล้านภาพในคลาวด์สโตเรจที่ไม่ปลอดภัย ซึ่งอาจทำให้ข้อมูลธุรกิจที่เป็นความลับ รหัสผ่าน และการสื่อสารภายในรั่วไหล
