16/06/25
Это позволило злоумышленникам обойти стандартные методы защиты и незаметно проводить шпионские операции внутри заражённых сетей.
Атаки группы Fog впервые были зафиксированы в мае 2024 года. Тогда злоумышленники проникали в сети жертв через скомпрометированные учётные данные VPN, напоминает Securitylab. Получив доступ, они применяли технику pass-the-hash» для повышения привилегий, отключали встроенную защиту Windows Defender и шифровали все данные, включая образы виртуальных машин. Позже операторы Fog начали использовать уязвимости в серверах Veeam Backup & Replication, а также уязвимые SSL VPN-устройства от SonicWall.
Новый всплеск активности группировки был замечен в мае специалистами Symantec и аналитиками из Carbon Black во время расследования инцидента в одной финансовой организации в Азии. На этот раз злоумышленники применили целый ряд непривычных для вымогателей инструментов, ранее не встречавшихся в аналогичных атаках.
Одной из самых неожиданных находок стала программа Syteca (ранее известная как Ekran) — это легальный корпоративный софт, предназначенный для мониторинга сотрудников, включая запись экрана и отслеживание нажатий клавиш. В руках киберпреступников такой инструмент превращается в мощное средство для скрытого сбора логинов и паролей, вводимых ничего не подозревающими пользователями.
Для доставки Syteca применялся Stowaway — прокси-инструмент с открытым исходным кодом, позволяющий тайно передавать файлы и управлять соединениями. Запуск происходил через SMBExec — аналог PsExec в составе популярной библиотеки Impacket, часто применяемой для латерального перемещения в сетях.
Кроме этого, было зафиксировано использование GC2 — редкой в таких атаках программы для постэксплуатации. Этот инструмент управляется через Google Sheets или Microsoft SharePoint и может использоваться как канал связи с командным сервером или для вывода украденной информации. Ранее GC2 была замечена только в операциях, связанных с китайской APT -группой APT41.
В составе инструментария группы Fog также обнаружены:
- Adapt2x — альтернатива Cobalt Strike, используемая для постэксплуатации;
- Process Watchdog — утилита мониторинга, перезапускающая важные системные процессы;
- PsExec — классическая утилита Microsoft для удалённого выполнения команд;
- Impacket SMB — Python-библиотека, которая позволяет напрямую взаимодействовать с протоколом SMB, вероятно использовалась для развёртывания самого шифровальщика.
Для подготовки и вывода данных на внешнюю инфраструктуру злоумышленники задействовали набор утилит: 7-Zip для архивации, MegaSync и FreeFileSync — для передачи файлов.
Специалисты Symantec подчёркивают, что выбранные инструменты делают атаку нетипичной: использование легитимного корпоративного ПО и редких средств управления, как Syteca и GC2, ранее не фиксировалось в вымогательских кампаниях. Это помогает преступникам оставаться незамеченными, обходить системы обнаружения угроз и действовать дольше внутри скомпрометированных сетей.
