- 19,436
- 40
- 8 Ноя 2022
Когда софт для контроля сотрудников превращается в оружие в руках вымогателей.
Преступная группировка, стоящая за вредоносной программой Fog, внедрила необычный набор инструментов для атак, в который вошли легитимные программы слежения и редкие open-source утилиты. Это позволило злоумышленникам обойти стандартные методы защиты и незаметно проводить шпионские операции внутри заражённых сетей.
Атаки группы Fog впервые были зафиксированы в мае 2024 года. Тогда злоумышленники проникали в сети жертв через скомпрометированные учётные данные VPN. Получив доступ, они применяли технику Для просмотра ссылки Войдиили Зарегистрируйся » для повышения привилегий, отключали встроенную защиту Windows Defender и шифровали все данные, включая образы виртуальных машин. Позже операторы Fog начали использовать Для просмотра ссылки Войди или Зарегистрируйся в серверах Veeam Backup & Replication, а также Для просмотра ссылки Войди или Зарегистрируйся SSL VPN-устройства от SonicWall.
Новый всплеск активности группировки был Для просмотра ссылки Войдиили Зарегистрируйся в мае специалистами Symantec и аналитиками из Carbon Black во время расследования инцидента в одной финансовой организации в Азии. На этот раз злоумышленники применили целый ряд непривычных для вымогателей инструментов, ранее не встречавшихся в аналогичных атаках.
Одной из самых неожиданных находок стала программа Syteca (ранее известная как Ekran) — это легальный корпоративный софт, предназначенный для мониторинга сотрудников, включая запись экрана и отслеживание нажатий клавиш. В руках киберпреступников такой инструмент превращается в мощное средство для скрытого сбора логинов и паролей, вводимых ничего не подозревающими пользователями.
Для доставки Syteca применялся Stowaway — прокси-инструмент с открытым исходным кодом, позволяющий тайно передавать файлы и управлять соединениями. Запуск происходил через SMBExec — аналог PsExec в составе популярной библиотеки Impacket, часто применяемой для латерального перемещения в сетях.
Кроме этого, было зафиксировано использование GC2 — редкой в таких атаках программы для постэксплуатации. Этот инструмент управляется через Google Sheets или Microsoft SharePoint и может использоваться как канал связи с командным сервером или для вывода украденной информации. Ранее GC2 была замечена только в операциях, связанных с китайской Для просмотра ссылки Войдиили Зарегистрируйся -группой APT41.
В составе инструментария группы Fog также обнаружены:
Специалисты Symantec подчёркивают, что выбранные инструменты делают атаку нетипичной: использование легитимного корпоративного ПО и редких средств управления, как Syteca и GC2, ранее не фиксировалось в вымогательских кампаниях. Это помогает преступникам оставаться незамеченными, обходить системы обнаружения угроз и действовать дольше внутри скомпрометированных сетей.
Преступная группировка, стоящая за вредоносной программой Fog, внедрила необычный набор инструментов для атак, в который вошли легитимные программы слежения и редкие open-source утилиты. Это позволило злоумышленникам обойти стандартные методы защиты и незаметно проводить шпионские операции внутри заражённых сетей.
Атаки группы Fog впервые были зафиксированы в мае 2024 года. Тогда злоумышленники проникали в сети жертв через скомпрометированные учётные данные VPN. Получив доступ, они применяли технику Для просмотра ссылки Войди
Новый всплеск активности группировки был Для просмотра ссылки Войди
Одной из самых неожиданных находок стала программа Syteca (ранее известная как Ekran) — это легальный корпоративный софт, предназначенный для мониторинга сотрудников, включая запись экрана и отслеживание нажатий клавиш. В руках киберпреступников такой инструмент превращается в мощное средство для скрытого сбора логинов и паролей, вводимых ничего не подозревающими пользователями.
Для доставки Syteca применялся Stowaway — прокси-инструмент с открытым исходным кодом, позволяющий тайно передавать файлы и управлять соединениями. Запуск происходил через SMBExec — аналог PsExec в составе популярной библиотеки Impacket, часто применяемой для латерального перемещения в сетях.
Кроме этого, было зафиксировано использование GC2 — редкой в таких атаках программы для постэксплуатации. Этот инструмент управляется через Google Sheets или Microsoft SharePoint и может использоваться как канал связи с командным сервером или для вывода украденной информации. Ранее GC2 была замечена только в операциях, связанных с китайской Для просмотра ссылки Войди
В составе инструментария группы Fog также обнаружены:
- Adapt2x — альтернатива Cobalt Strike, используемая для постэксплуатации;
- Process Watchdog — утилита мониторинга, перезапускающая важные системные процессы;
- PsExec — классическая утилита Microsoft для удалённого выполнения команд;
- Impacket SMB — Python-библиотека, которая позволяет напрямую взаимодействовать с протоколом SMB, вероятно использовалась для развёртывания самого шифровальщика.
Специалисты Symantec подчёркивают, что выбранные инструменты делают атаку нетипичной: использование легитимного корпоративного ПО и редких средств управления, как Syteca и GC2, ранее не фиксировалось в вымогательских кампаниях. Это помогает преступникам оставаться незамеченными, обходить системы обнаружения угроз и действовать дольше внутри скомпрометированных сетей.
- Источник новости
- www.securitylab.ru
