据Symantec和Carbon Black Threat Hunter团队的研究人员发现,Fog勒索软件攻击使用了一种不寻常的工具组合,包括开源的渗透测试工具和合法的员工监控软件Syteca。
这次攻击首次被观察到是在去年五月,当时攻击者利用被盗的VPN凭证进入受害者网络。随后,他们使用“传递哈希”攻击获得管理员权限,禁用了Windows Defender,并加密了包括虚拟机存储在内的所有文件。
此外,攻击者还利用影响Veeam Backup & Replication服务器和SonicWall SSL VPN端点的漏洞进行攻击。
在最近对亚洲一家金融机构的事件响应中,研究人员发现了这一不寻常的攻击工具组合。Syteca是一种合法的员工监控软件,能够记录屏幕活动和击键。攻击者使用Stowaway传送该软件,这是一种用于隐秘通信和文件传输的开源代理工具,并通过Impacket框架中的SMBExec执行。
除了这些工具,Fog勒索软件还使用了GC2开源后渗透后门,通过Google Sheets或Microsoft SharePoint进行命令与控制(C2)和数据外泄。这些工具的使用在勒索软件攻击中较为少见,曾被中国APT41威胁组织使用。
