详细内容或原文请订阅后点击阅览
最近在FOG勒索软件攻击中使用的不寻常工具集
FOG勒索软件操作员在2025年5月的攻击中使用了不寻常的污点和监测工具。 2025年5月,攻击者使用Syteca监视软件和Pentesting Tools GC2,Adaptix和Stowaway等稀有工具(例如Syteca Monitoring软件)袭击了一家亚洲金融公司。 Symantec研究人员指出,这些工具的使用是不寻常的[…]
来源:Security Affairs _恶意软件最近在FOG勒索软件攻击中使用的不寻常工具集
FOG勒索软件操作员在2025年5月的攻击中使用了不寻常的污点和监测工具。
在2025年5月,攻击者使用雾勒索软件袭击了一家亚洲金融公司,使用了Syteca监视软件和pentews工具GC2,Adaptix和Stowaway等稀有工具。 Symantec研究人员指出,这些工具的使用对于勒索软件活动而言是不寻常的。值得注意的是,攻击者在攻击后创建了一项服务,以维持访问权限,这是一种难得的持久性举动。攻击者在推出勒索软件之前一直在网络中持续了两个星期,这表明了一种更具计算机的长期策略。
雾勒索软件FOG勒索软件至少从2024年5月起就一直活跃,并专注于美国学校。威胁最初通过受损的VPN传播。到2024年底,它利用了严重的VEEAM VBR漏洞(CVE-2024-40711,CVSS 9.8)。 2025年4月,攻击者转移到基于电子邮件的感染中,赎金指出嘲笑埃隆·马斯克(Elon Musk)的总督机构,如果受害者感染了他人,则提供自由解密,并强调了其不断发展且挑衅的策略。
CVE-2024-40711研究人员无法在最近的FOG勒索软件攻击中确定最初的感染向量,但是,专家认为交换服务器涉及。攻击者部署了稀有工具,包括使用Google表或SharePoint用于C2的GC2和Syteca监视工具,可能是用于间谍活动。他们使用Stowaway进行交付,PSEXEC/SMBEXEC进行横向运动,并在使用后删除了证据。攻击者使用Adaptix C2,FreeFilesync,Megasync和Process看门狗等工具来窃取数据,保持持久性和控制。
报告在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook mastodonPierluigi Paganini
(SecurityFaffairs - 黑客,雾勒索软件)
SecurityFaffairs