Crazy 勒索团伙滥用员工监控软件与SimpleHelp实现持久化控制

安全研究人员在多起事件中发现，Crazy 勒索软件的攻击者通过部署 Net Monitor for Employees Professional 员工监控软件配合 SimpleHelp 远程支持工具，实现对已入侵企业网络的持久化控制和检测规避。攻击者利用 msiexec.exe 从官方网站直接下发监控代理，并伪装成合法的 vshost.exe 进程进行持久化。通过 PowerShell 下载并执行简化为 OneDriveSvc.exe 的 SimpleHelp 客户端，获得完整的交互式桌面控制、文件传输与命令执行能力。攻击者还尝试启用本地管理员账户、停止 Windows Defender 服务，并配置监控规则在目标访问加密货币钱包、交易平台及相关关键词时触发告警，为后续勒索和加密货币窃取做准备。日志显示相同文件名、重叠的 C2 基础设施，表明这些攻击出自同一威胁组织。企业需严密监控未经授权的远程监控与支持工具安装，强制启用 MFA 以防 SSL VPN 凭证泄露。

企业应加强对非常规远程管理工具的监管，尤其是未授权的监控与远控软件，实施文件哈希校验与行为阈值检测。建议在端点防护中启用进程名称白名单，并对所有远程连接强制执行多因素认证，以防凭证泄露后被滥用。加强日志审计与异常流量分析，可早期发现潜在的勒索软件准备活动，提升整体防泄密水平。