Crazy 勒索软件团伙成员正滥用合法的员工监控软件与 SimpleHelp 远程支持工具，在企业网络中维持持久化控制、规避检测，并为部署勒索软件做准备。

安全研究人员在调查多起安全事件时发现了上述入侵行为：攻击者会在攻陷的网络中部署 Net Monitor for Employees Professional 员工监控软件，并配合 SimpleHelp 实现远程访问，同时将自身行为伪装成正常的管理员操作。 

在其中一起入侵事件中，攻击者通过 Windows 安装程序 msiexec.exe 安装了该员工监控工具，直接从开发者官网向受感染系统下发监控代理。

工具安装后，攻击者可远程查看受害者桌面、传输文件并执行命令，实质上获得了受侵系统的完整交互式控制权限。 

攻击者还通过以下命令尝试启用本地管理员账户：

net   user   administrator   /active:yes

为实现冗余持久化，攻击者通过 PowerShell 命令下载并安装 SimpleHelp 远程访问客户端，使用的文件名模仿了合法的 Visual Studio 进程 vshost.exe。载荷随后被执行，即便员工监控工具被清除，攻击者仍可通过该渠道保持远程访问。

SimpleHelp 二进制文件有时还会使用伪装成 OneDrive 相关的文件名：

C:ProgramDataOneDriveSvcOneDriveSvc.exe

攻击者利用这款监控软件远程执行命令、传输文件，并实时监控系统活动。

研究人员还观察到，攻击者会尝试停止并删除相关服务，以此禁用 Windows Defender。

禁用 Windows Defender

在某起事件中，攻击者在 SimpleHelp 中配置了监控规则：当设备访问加密货币钱包或使用远程管理工具时立即告警，为部署勒索软件和窃取加密货币做准备。

日志显示，代理程序持续针对加密货币相关关键词循环触发与重置监控规则，包括钱包服务（MetaMask、Exodus、wallet、blockchain）、交易平台（Binance、Bybit、KuCoin、Bitrue、Poloniex、bc.game、Noones）、区块链浏览器（Etherscan、Bscscan）以及支付平台 Payoneer。

除此之外，代理还会监控远程访问工具关键词，包括 RDP、AnyDesk、UltraView、TeamViewer、VNC 等，目的大概率是检测是否有人正在连接受控机器。

SimpleHelp 代理所监控的关键词

同时使用多款远程访问工具为攻击者提供了访问冗余，确保即便其中一款被发现或删除，仍能掌控目标系统。 

尽管只有一起事件最终部署了 Crazy 勒索软件，但研究人员认为两起事件背后是同一威胁组织所为。据观察，两起事件复用了相同文件名（vhost.exe）与重叠的 C2 基础设施，强烈表明入侵由同一操作者或团伙实施。 

在勒索软件入侵事件中，滥用合法远程管理与监控工具已愈发普遍，因为这类工具可让攻击者的流量隐藏在正常业务流量中，不易被发现。为此，企业应严密监控未经授权的远程监控与支持工具安装行为。此外，由于两起入侵均始于 SSL VPN 凭证泄露，需对所有用于访问内网的远程服务强制启用多因素认证（MFA）。