تُستهدف أدوات برامج مراقبة مكان العمل من قبل قراصنة الفدية، وفقًا لشركة الأمن السيبراني Huntress.
وجد تقرير جديد أن الجهات المهددة قامت بربط برامج مراقبة الموظفين مع أدوات الإدارة عن بُعد لتحقيق استمرارية في أنظمة الشركات.
الانتشار الواسع لـ "برمجيات المدير" زاد من مساحة الهجوم المحتملة للمؤسسات.

يتم استهداف أداة مراقبة القوى العاملة الشهيرة من قبل القراصنة وتستخدم كقاعدة لشن هجمات الفدية، وفقًا لتقرير جديد من شركة الأمن السيبراني Huntress. في أواخر يناير وأوائل فبراير 2026، حققت فريق الاستجابة التكتيكي في Huntress في اختراقين حيث قام المهاجمون بدمج Net Monitor for Employees Professional مع SimpleHelp، أداة الوصول عن بُعد التي تستخدمها أقسام تكنولوجيا المعلومات.

> ملخص سريع 📌 قام مجرمو الإنترنت بتحويل برنامج مراقبة الموظفين إلى RAT، ودمجه مع SimpleHelp، وهاجموا العملات الرقمية، وحاولوا نشر Crazy ransomware. > > الأبطال الأخلاقيون وراء هذا التقرير: @RussianPanda9xx، @sudo_Rem، @Purp1eW0lf، + @Antonlovesdnbhttps://t.co/3c6qbD7l3g > > — Huntress (@HuntressLabs) 13 فبراير 2026

وفقًا للتقرير، استخدم القراصنة برنامج مراقبة الموظفين للدخول إلى أنظمة الشركة، واستخدموا SimpleHelp لضمان بقائهم هناك حتى لو تم إغلاق نقطة وصول واحدة. وأدى النشاط في النهاية إلى محاولة نشر Crazy ransomware. كتب باحثو Huntress: "تسلط هذه الحالات الضوء على اتجاه متزايد من قبل الجهات المهددة للاستفادة من برامج شرعية ومتاحة تجاريًا للاندماج في بيئات المؤسسات." "بينما يُسوَّق Net Monitor for Employees Professional كأداة لمراقبة القوى العاملة، فإنه يوفر قدرات تنافس أدوات الوصول عن بُعد التقليدية: اتصالات عكسية عبر المنافذ الشائعة، تمويه أسماء العمليات والخدمات، تنفيذ قشرة مدمجة، والقدرة على النشر الصامت عبر آليات تثبيت Windows القياسية. عند دمجه مع SimpleHelp كقناة وصول ثانوية... يكون الناتج قاعدة قوية ذات أداتين يصعب تمييزها عن البرامج الإدارية الشرعية." وأضافت الشركة أن الأدوات قد تكون جديدة، لكن السبب الجذري لا يزال هو الثغرات في الحدود الضعيفة ونظافة الهوية، بما في ذلك حسابات VPN المخترقة. صعود "برمجيات المدير" يختلف استخدام ما يُعرف بـ "برمجيات المدير" عالميًا، لكنه منتشر على نطاق واسع. وفقًا لتقرير العام الماضي، تستخدم حوالي ثلث الشركات في المملكة المتحدة برامج مراقبة الموظفين، بينما يُقدّر في الولايات المتحدة بنسبة تقارب 60%.

يُستخدم البرنامج عادةً لمتابعة الإنتاجية، وتسجيل النشاط، والتقاط لقطات شاشة لشاشات العاملين. لكن استخدامه مثير للجدل، كما هو الحال مع الادعاءات حول ما إذا كان يلتقط فعلاً إنتاجية الموظف أم يقيم بناءً على معايير عشوائية مثل نقرات الماوس أو الرسائل الإلكترونية المرسلة. ومع ذلك، فإن شعبيته تجعل من هذه الأدوات هدفًا جذابًا للمهاجمين. يُسوَّق Net Monitor for Employees Professional، الذي طورته NetworkLookout، لتتبع إنتاجية الموظفين، لكنه يوفر قدرات تتجاوز المراقبة السلبية للشاشة، بما في ذلك اتصالات القشرة العكسية، والتحكم عن بُعد في سطح المكتب، وإدارة الملفات، والقدرة على تخصيص أسماء الخدمات والعمليات أثناء التثبيت. هذه الميزات، المصممة للاستخدام الإداري الشرعي، يمكن أن تسمح للجهات المهددة بالاندماج في بيئات المؤسسات دون نشر برامج ضارة تقليدية. في الحالة الأولى التي وردت من Huntress، تم تنبيه المحققين من خلال تلاعب مشبوه بالحساب على مضيف، بما في ذلك محاولات لتعطيل حساب الضيف الخاص بالنظام وتمكين حساب المدير المدمج. تم تنفيذ أوامر "net" متعددة لتعداد المستخدمين، وإعادة تعيين كلمات المرور، وإنشاء حسابات إضافية. تتبعت التحليلات النشاط إلى ملف ثنائي مرتبط بـ Net Monitor for Employees، والذي أنشأ تطبيق طرفي مزيف يسمح بتنفيذ الأوامر. قام الأداة بتنزيل ملف ثنائي لـ SimpleHelp من عنوان IP خارجي، ثم حاول المهاجم التلاعب بـ Windows Defender ونشر نسخ متعددة من Crazy ransomware، وهو جزء من عائلة VoidCrypt. في الاختراق الثاني، الذي رُصد في أوائل فبراير، دخل المهاجمون عبر حساب VPN من بائع مخترق واتصلوا عبر بروتوكول سطح المكتب البعيد إلى وحدة تحكم المجال. من هناك، قاموا بتثبيت وكيل Net Monitor مباشرة من موقع البائع. قام المهاجمون بتخصيص أسماء الخدمات والعمليات لمحاكاة مكونات Windows الشرعية، وتمويه الخدمة على أنها مرتبطة بـ OneDrive وإعادة تسمية العملية الجارية. ثم قاموا بتثبيت SimpleHelp كقناة دائمة إضافية وضبطوا محفزات مراقبة تعتمد على الكلمات المفتاحية تستهدف محافظ العملات الرقمية، والبورصات، ومنصات الدفع، وأدوات الوصول عن بُعد الأخرى. وقالت Huntress إن النشاط أظهر علامات واضحة على دوافع مالية وتجنب متعمد للدفاعات.

قالت شركة Network LookOut، المطورة لـ Net Monitor for Employee، لـ Decrypt إن الوكيل يمكن تثبيته فقط بواسطة مستخدم يمتلك صلاحيات إدارية على الكمبيوتر الذي يُراد تثبيت الوكيل عليه. "بدون صلاحيات إدارية، لا يمكن التثبيت"، على حد قولها عبر البريد الإلكتروني. "لذا، إذا كنت لا تريد تثبيت برنامجنا على جهاز كمبيوتر، يرجى التأكد من عدم منح الوصول الإداري لمستخدمين غير مصرح لهم، حيث يتيح الوصول الإداري تثبيت أي برنامج." ليست هذه المرة الأولى التي يحاول فيها المهاجمون نشر برامج فدية أو سرقة معلومات عبر برمجيات المدير. ففي أبريل 2025، كشف الباحثون أن تطبيق مراقبة مكان العمل WorkComposer، الذي يستخدمه أكثر من 200,000 شخص، ترك أكثر من 21 مليون لقطة شاشة في الوقت الحقيقي مكشوفة في حاوية تخزين سحابي غير مؤمنة، مما قد يؤدي إلى تسريب بيانات أعمال حساسة، وبيانات اعتماد، واتصالات داخلية.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة مستمدة من مصادر خارجية وهي للمرجعية فقط. لا تمثل هذه المعلومات آراء أو وجهات نظر Gate ولا تشكل أي نصيحة مالية أو استثمارية أو قانونية. ينطوي تداول الأصول الافتراضية على مخاطر عالية. يرجى عدم الاعتماد حصرياً على المعلومات الواردة في هذه الصفحة عند اتخاذ القرارات. لمزيد من التفاصيل، يرجى الرجوع على إخلاء المسؤولية.

تعليق

0/400

لا توجد تعليقات