SOC Prime Bias: Hoch

12 Feb. 2026 18:45
newspaper icon Huntress

Mitarbeiterüberwachung und SimpleHelp-Software in Ransomware-Betrieb missbraucht

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
Mitarbeiterüberwachung und SimpleHelp-Software in Ransomware-Betrieb missbraucht
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Bedrohungsakteure missbrauchten Net Monitor for Employees und die SimpleHelp Remote-Management-Plattform, um anhaltenden Zugang zu Opfernetzwerken aufrechtzuerhalten. Indem sie durch legitime kommerzielle Tools operierten, mischten sich die Eindringlinge ein, während sie Folge-Downloads herunterluden und versuchten, Crazy-Ransomware (eine VoidCrypt-Variante) zu installieren. Überlappende Infrastruktur — geteilte C2-Domains und IP-Adressen — deutet auf denselben Betreiber in beiden Vorfällen hin. Die Aktivitäten waren profitorientiert und kombinierten Überwachung von Anmeldedaten-/Kryptodiebstahl mit versuchter Ransomware-Erpressung.

Untersuchung

Huntress dokumentierte zwei Eindringversuche Anfang 2026, bei denen Net Monitor for Employees eine Reverse-Shell-Fähigkeit und Dienstverschleierung ermöglichte, während SimpleHelp für Backup-Beständigkeit sorgte. Analysten beobachteten einen umbenannten vhost.exe-Download, die Ausführung von winpty-agent.exe und Versuche, die Verteidigung zu schwächen, indem die Windows Defender-Einstellungen manipuliert wurden. Der erste Zugriff beinhaltete auch kompromittierte VPN-Zugangsdaten, und die Tools wurden durch stille msiexec-Ausführung installiert. Mehrere Kopien der Crazy-Ransomware-Binärdatei (encrypt.exe) wurden abgelegt, aber die Ransomware-Phase konnte nicht ausgeführt werden.

Minderung

Priorisieren Sie MFA über alle Fernzugriffspfade hinweg, minimieren Sie privilegierte Konten und segmentieren Sie Netzwerke, um seitliche Bewegungen einzuschränken. Prüfen Sie Aggressiv die Admin-Tools von Drittanbietern und aktivieren Sie Warnungen bei verdächtigen Prozessketten, stillen msiexec-Installationen und Dienstnamenverschleierung. Blockieren Sie bekannte C2-Infrastrukturen oder überwachen Sie sie und nutzen Sie Anwendungskontrollen, um die Ausführung unautorisierter RMM-Binärdateien zu verhindern.

Reaktion

Wenn erkannt, isolieren Sie betroffene Systeme, stoppen Sie bösartige Prozesse und entfernen Sie unautorisierte RMM-Dienste. Bewahren Sie wichtige Artefakte (Binärdateien, Installationsspuren, Protokolle) auf, blockieren Sie verwandte C2-Domains/IPs und setzen Sie alle kompromittierten Zugangsdaten zurück. Führen Sie eine umgebungsweite Bestandsaufnahme der Admin-Tools durch, um deren Legitimität zu überprüfen, und beheben Sie dann Registrierungsänderungen und machen Sie jegliche Defender-Manipulationen oder Sicherheitssteuerungs-Deaktivierungsversuche rückgängig.

„graph TB %% Class Definitions classDef technique fill:#e0f7fa classDef tool fill:#ffe0b2 classDef process fill:#d1c4e9 %% Nodes step1[„<b>Technik</b> – T1078 Gültige Konten<br/>Kompromittierte SSL-VPN-Zugangsdaten des Anbieters wurden für den Fernzugriff verwendet.“] class step1 technique step2[„<b>Technik</b> – T1021.001 Remote-Dienste: Remote Desktop Protocol<br/>RDP wurde verwendet, um auf den Domänencontroller zuzugreifen.“] class step2 technique step3[„<b>Technik</b> – T1218.007 System-Binär-Proxy-Ausführung: Msiexec<br/>Still installiertes Net Monitor for Employees MSI.“] class step3 technique tool_msiexec[„<b>Tool</b> – Msiexec<br/><b>Zweck</b>: Installieren von MSI-Paketen“] class tool_msiexec tool step4[„<b>Technik</b> – T1036 Verschleierung<br/>Dienst als OneDriveSvc registriert, Prozess umbenannt in OneDriver.exe dann svchost.exe.“] class step4 technique step5[„<b>Technik</b> – T1136.002 Konto erstellen: Domänenkonto<br/>Eingebauter Administrator aktiviert und neue Konten erstellt.“] class step5 technique step5b[„<b>Technik</b> – T1136.001 Konto erstellen: Lokales Konto“] class step5b technique step5c[„<b>Technik</b> – T1098.007 Zusätzliche lokale oder domänenspezifische Gruppen<br/>Konten zu privilegierten Gruppen hinzugefügt.“] class step5c technique step6[„<b>Technik</b> – T1012 Registrierung abfragen<br/>Registrierungsdaten geändert, um Windows Defender zu deaktivieren.“] class step6 technique step6b[„<b>Technik</b> – T1553 Vertrauenssteuerungen untergraben<br/>Sicherheitssteuerungen deaktiviert.“] class step6b technique step7[„<b>Technik</b> – T1059.001 PowerShell<br/>Winpty-agent.exe verwendet, um vhost.exe (SimpleHelp) herunterzuladen.“] class step7 technique tool_winpty[„<b>Tool</b> – winpty-agent.exe<br/><b>Funktion</b>: PowerShell-Payload-Downloader“] class tool_winpty tool malware_simplehelp[„<b>Malware</b> – vhost.exe (SimpleHelp)“] class malware_simplehelp process step8[„<b>Technik</b> – T1102 Webdienst<br/>Bidirektionale und unidirektionale Kommunikationen über HTTPS mit Domain-Fronting.“] class step8 technique step8b[„<b>Technik</b> – T1090.004 Domain-Fronting<br/>HTTPS-Verkehr zu dronemaker.org und anderen Gateways.“] class step8b technique step9[„<b>Technik</b> – T1087.001 Kontenermittlung: Lokales Konto<br/>Lokale Konten durch net-Befehle aufgelistet.“] class step9 technique step9b[„<b>Technik</b> – T1087.002 Kontenermittlung: Domänenkonto<br/>Domänenkonten aufgelistet.“] class step9b technique step10[„<b>Technik</b> – T1486 Daten verschlüsselt zum Schädigen<br/>Versuchter Einsatz von Crazy-Ransomware.“] class step10 technique malware_crazy[„<b>Malware</b> – Crazy Ransomware“] class malware_crazy process step10b[„<b>Technik</b> – T1027.009 Verschleierte Dateien oder Informationen: Eingebettete Payloads<br/>Mehrere verschlüsselte Binärdateien.“] class step10b technique step11[„<b>Technik</b> – T1574.010 Umleitung des Ausführungsflusses: Schwäche der Dienstdateiberechtigungen<br/>Binärdateien und Dienste umbenannt, um legitim zu erscheinen.“] class step11 technique %% Connections step1 u002du002d>|leads_to| step2 step2 u002du002d>|leads_to| step3 step3 u002du002d>|uses| tool_msiexec step3 u002du002d>|leads_to| step4 step4 u002du002d>|leads_to| step5 step5 u002du002d>|related_to| step5b step5b u002du002d>|related_to| step5c step5c u002du002d>|leads_to| step6 step6 u002du002d>|modifies| step6b step6b u002du002d>|leads_to| step7 step7 u002du002d>|uses| tool_winpty tool_winpty u002du002d>|downloads| malware_simplehelp malware_simplehelp u002du002d>|leads_to| step8 step8 u002du002d>|uses| step8b step8b u002du002d>|leads_to| step9 step9 u002du002d>|leads_to| step9b step9b u002du002d>|leads_to| step10 step10 u002du002d>|delivers| malware_crazy malware_crazy u002du002d>|related_to| step10b step10b u002du002d>|leads_to| step11 „

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien-Check muss erfolgreich bestanden worden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die zum Auslösen der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:

    1. Vorbereitung: Der Angreifer kopiert eine harmlose Windows-Binärdatei (calc.exe) in eine Datei namens nmep_agtconfig.exe, ein überwacher Suffix, das den SimpleHelp-Agenten repräsentiert.
    2. Ausführung: Die umbenannte Binärdatei wird gestartet, wodurch Sysmon ein Prozesserstellungsereignis protokolliert, dessen Bild endet mit nmep_agtconfig.exe.
    3. Nach der Ausführung: Der Angreifer führt optional einen PowerShell-Einzeiler innerhalb des gestarteten Prozesses aus, um die Befehlsausführung zu simulieren (Veranschaulichung von T1059), aber dieses zusätzliche Verhalten ist nicht erforderlich, damit die Regel ausgelöst wird.

  • Regressionstestskript:

    # Simulationsskript – löst die Sigma-Regel aus
$src = "$env:SystemRootSystem32calc.exe"
$dst = "$env:Tempnmep_agtconfig.exe"

# Kopieren von calc.exe zum maskierten Namen
Copy-Item -Path $src -Destination $dst -Force

# Ausführen der maskierten Binärdatei
$proc = Start-Process -FilePath $dst -PassThru

# Optional: Innerhalb derselben Sitzung einen harmlosen Befehl ausführen, um Befehlstelemetrie zu generieren
Start-Process -FilePath "powershell.exe" -ArgumentList '-NoProfile -Command "Write-Host Simulated payload."' -NoNewWindow

# Ausgabe der PID für die Bereinigung
Write-Output "Erzeugte PID: $($proc.Id)"

  • Bereinigungsbefehle:

    # Beenden Sie den maskierten Prozess, wenn er noch läuft
Get-Process -Name "nmep_agtconfig" -ErrorAction SilentlyContinue | Stop-Process -Force

# Entfernen der Datei von der Festplatte
Remove-Item -Path "$env:Tempnmep_agtconfig.exe" -Force

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten