【安全资讯】Fog勒索软件在近期攻击中使用非常规工具集

概要：

2025年5月，亚洲一家金融机构遭受Fog勒索软件攻击，攻击者使用了一套非常规工具集，包括合法的员工监控软件Syteca和多种开源渗透测试工具。此次攻击的独特之处在于攻击者在部署勒索软件后仍试图保持对受害者网络的持久访问，这暗示攻击可能具有间谍目的。

主要内容：

此次攻击中，攻击者使用了Syteca（原Ekran）员工监控软件，该软件具有屏幕记录和键盘记录功能，可能用于信息窃取。此外，攻击者还部署了多种开源渗透测试工具，包括GC2、Adaptix和Stowaway代理工具。GC2工具通过Google Sheets或Microsoft SharePoint List执行命令，并使用Google Drive或Microsoft SharePoint文档外泄文件。

攻击者在目标网络中潜伏约两周后才部署勒索软件。值得注意的是，攻击者在部署勒索软件后创建了一个服务以建立持久性，这在勒索软件攻击中极为罕见。这表明攻击者可能不仅为了勒索赎金，还试图长期控制受害者网络。

Fog勒索软件最初于2024年5月被发现，主要针对美国教育机构。攻击者曾利用VPN凭证和Veeam Backup & Replication服务器的关键漏洞（CVE-2024-40711）获取初始访问权限。此次攻击中，攻击者还使用了PsExec和SMBExec进行横向移动，并下载了文件传输工具Freefilesync和MegaSync用于数据窃取。

此次攻击的非常规工具集和持久性行为表明，这可能是一起具有间谍目的的勒索攻击。企业和组织应提高警惕，加强防护措施以应对此类复杂攻击。