Un acteur malveillant utilise Net Monitor for Employees et SimpleHelp pour lancer des attaques de ransomware et de crypto-monnaie.
Un acteur malveillant abuse d’une application de surveillance des employés et d’une plateforme de surveillance et de gestion à distance pour tenter de déployer un ransomware et de voler de la cryptomonnaie.
Selon les chercheurs de Huntress, l’acteur inconnu exploite Net Monitor for Employees Professional de NetworkLookout – qui, malgré son nom, comprend des outils d’accès à distance – et SimpleHelp, une suite d’outils couramment utilisés par les équipes informatiques et les fournisseurs de services gérés pour la surveillance et la gestion à distance.
Ces applications peuvent déjà être utilisées dans un environnement informatique ou être téléchargées par l’attaquant une fois qu’il a accès au réseau.
Dans un cas, la chaîne d’attaques a abouti à une tentative de déploiement du ransomware Crazy. Dans un autre cas, la combinaison d’applications a été utilisée pour rechercher des mots-clés liés aux crypto-monnaies sur l’ordinateur compromis de la victime.
La combinaison de ces deux applications est unique, explique Huntress, même si SimpleHelp a toujours été utilisé de manière abusive par des pirates informatiques en tant que mécanisme de persistance post-exploitation. Il offre un agent léger, prend en charge la redondance des passerelles et permet de fonctionner sur des ports communs. Net Monitor for Employees, dont le but est de détecter les employés qui perdent du temps de travail à cause d’activités illégales, est utilisé ici comme principal canal d’accès à distance. Pour un acteur malveillant, il offre des connexions inversées sur les ports communs, un masquage des noms de processus et de services, une exécution de shell intégrée et la possibilité de déployer silencieusement via les mécanismes d’installation Windows standard.
Anna Pham, analyste principale des réponses tactiques chez Huntress, a qualifié la combinaison des deux applications d’attaques de « dangereuse », en particulier parce que dans un cas, l’auteur de la menace a eu accès à l’infrastructure informatique de la victime via le compte VPN compromis d’un fournisseur.
Utiliser des applications et des outils déjà présents sur le réseau qui pourraient sembler légitimes aux services informatiques pour dissimuler des attaques, également connu sous le nom de stratégie de « vivre de la terre », est « très intelligent et sournois », a-t-elle ajouté.
Deux attaques découvertes
Huntress a découvert deux incidents utilisant cette tactique, un fin janvier et un début ce mois-ci. L’infrastructure partagée, les indicateurs de compromission qui se chevauchent et la cohérence des échanges commerciaux dans les deux cas amènent Huntress à croire fermement qu’un seul acteur ou groupe menaçant était à l’origine de cette activité.
Dans le premier cas, Huntress a détecté une manipulation suspecte de compte sur l’ordinateur d’un client via Net Monitor For Employees, qui comprenait des tentatives de réinitialisation de mots de passe et de création de comptes supplémentaires. L’application était déjà utilisée dans l’environnement.
La manière dont l’attaquant est entré dans Net Monitor n’est pas claire. Mais leur étape suivante consistait à l’utiliser pour télécharger l’agent de gestion à distance SimpleHelp, qui était utilisé pour exécuter un certain nombre de commandes, notamment la falsification de Windows Defender pour échapper à la détection. Cela n’a pas abouti, mais cela n’a pas empêché l’auteur de la menace d’essayer de déployer la souche Crazy du ransomware.
Dans le deuxième cas, impliquant également un client de Huntress, l’auteur de la menace a exploité le compte VPN SSL d’un fournisseur compromis pour accéder initialement au réseau informatique. On ne sait pas comment l’auteur de la menace a obtenu les informations d’identification du fournisseur. Mais une fois à l’intérieur, le pirate a utilisé le protocole RDP (Windows Remote Desktop Protocol) pour installer l’agent Net Monitor for Employees Professional via PowerShell. L’agent a ensuite été déguisé en processus système légitime avec un nom imitant le service OneDrive de Microsoft.
Peu de temps après, l’auteur de la menace a installé SimpleHelp comme canal d’accès à distance persistant supplémentaire. L’agent SimpleHelp a également été configuré avec des déclencheurs de surveillance pour les mots-clés liés à la crypto-monnaie, ainsi qu’avec la recherche de mots-clés d’outils d’accès à distance pour déterminer si quelqu’un d’autre se connectait à la machine compromise. L’acteur malveillant a également utilisé Net Monitor pour la reconnaissance du réseau sur un contrôleur de domaine compromis.
Assurez-vous que ces risques sont catalogués
Johannes Ullrich, doyen de la recherche à l’Institut SANS, a déclaré que ce rapport est un exemple de la manière dont les équipes informatiques des entreprises construisent une infrastructure dont les attaquants abusent ensuite. Il est connu que les logiciels de surveillance des employés et les logiciels de sécurité ont été utilisés à mauvais escient dans le passé, a-t-il déclaré.
Il a souligné que les logiciels comprenant des agents qui accèdent à des systèmes distants pour collecter des données peuvent souvent exécuter du code sur ces systèmes, afin de pouvoir enquêter sur des activités suspectes. Mais, a-t-il prévenu, s’ils ne sont pas correctement contrôlés, ils peuvent être exploités par un attaquant pour exécuter du code malveillant.
Invité à commenter le rapport, un porte-parole de NetworkLookout, la société mère de Net Monitor, a noté dans un e-mail que l’agent Net Monitor for Employees ne peut être installé que par un utilisateur disposant déjà de privilèges administratifs sur l’ordinateur sur lequel l’agent doit être installé. Sans privilèges administratifs, a ajouté le porte-parole, « l’installation n’est pas possible ».
« Donc », a conclu le porte-parole, « si vous ne souhaitez pas que notre logiciel soit installé sur un ordinateur, veuillez vous assurer que l’accès administratif n’est pas accordé à des utilisateurs non autorisés. »
Ce que les OSC devraient faire
Pham, analyste chez Huntress, a déclaré que pour se défendre contre les attaques combinant Net Monitor for Employees Professional et SimpleHelp, les professionnels de la sécurité de l’information devraient inventorier toutes les applications afin que les installations non approuvées puissent être détectées. Les applications légitimes doivent être protégées par des solutions robustes de gestion des identités et des accès, y compris l’authentification multifacteur.
Net Monitor for Employees ne doit être installé que sur des points finaux qui ne disposent pas de privilèges d’accès complets aux données sensibles ou aux serveurs critiques, a-t-elle ajouté, car il a la capacité d’exécuter des commandes et des systèmes de contrôle.
Elle a également noté que Huntress détecte de nombreux outils de gestion à distance malveillants sur les réseaux informatiques de ses clients, dont beaucoup ont été installés par des employés involontaires cliquant sur des e-mails de phishing. Cela souligne l’importance de la formation à la sensibilisation à la sécurité, a-t-elle déclaré.
Les dirigeants de l’Infosec doivent également noter qu’en juin 2025, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti que les opérateurs de ransomwares avaient exploité des instances non corrigées d’une vulnérabilité dans SimpleHelp Remote Monitoring and Management (RMM) pour compromettre les clients d’un fournisseur de logiciels de facturation de services publics. L’avis fournit également des conseils sur la façon d’atténuer les risques, notant : « Cet incident reflète un schéma plus large d’acteurs de ransomware ciblant les organisations via des versions non corrigées de SimpleHelp RMM depuis janvier 2025. »
