Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Атака программой-вымогателем Fog с шпионскими инструментами в финансовом секторе

3 мин
В мае 2025 года финансовое учреждение в Азии стало объектом сложной и мало типичной кибератаки с использованием программы-вымогателя Fog. Инцидент привлек внимание экспертов благодаря применению необычного набора инструментов, сочетающих как легальные, так и специализированные средства для проникновения и последующего контроля над сетью жертвы. В атаке был задействован широкий спектр программных средств, среди которых выделяются: Злоумышленники проникли в целевую инфраструктуру, предположительно через скомпрометированные серверы Microsoft Exchange, известные своими уязвимостями. Восстановление доступа и скрытное продвижение по сети сопровождались: Примечательно, что злоумышленники удерживались в сети жертвы около двух недель перед активацией программы-вымогателя Fog. Это контрастирует с ранее известными случаями, когда атаки Fog начинались с немедленного шифрования данных, как например проникновение через скомпрометированные VPN-учётные записи в учебных заведениях США. Дополнительной н
Оглавление

Атака программой-вымогателем Fog на азиатское финансовое учреждение: новый уровень угроз

В мае 2025 года финансовое учреждение в Азии стало объектом сложной и мало типичной кибератаки с использованием программы-вымогателя Fog. Инцидент привлек внимание экспертов благодаря применению необычного набора инструментов, сочетающих как легальные, так и специализированные средства для проникновения и последующего контроля над сетью жертвы.

Использованные инструменты и тактики злоумышленников

В атаке был задействован широкий спектр программных средств, среди которых выделяются:

  • Syteca — легальное ПО для мониторинга сотрудников, впервые зафиксированное в связке с программой-вымогателем;
  • Инструменты с открытым исходным кодом — GC2, Adaptix и Stowaway, редко используемые в операциях с ransomware;
  • Средства для горизонтального перемещения внутри сети — PsExec и SMBExec;
  • Утилиты для передачи и архивации данных — FreeFileSync и MegaSync;
  • Командно-контрольный агент Adaptix C2 Agent Beacon, аналог платформы Cobalt Strike framework;
  • Использование Impacket SMB в день активации программы-вымогателя, что вероятно способствовало успешному развертыванию вредоносного ПО.

Особенности хода атаки

Злоумышленники проникли в целевую инфраструктуру, предположительно через скомпрометированные серверы Microsoft Exchange, известные своими уязвимостями. Восстановление доступа и скрытное продвижение по сети сопровождались:

  • Установкой сервисов для длительного присутствия в сети, что необычно для традиционных атак с программами-вымогателями, которые обычно завершают активность сразу после шифрования данных;
  • Использованием GC2 для отправки команд через Google Sheets и SharePoint Lists, а также для извлечения файлов и выполнения произвольных shell-команд;
  • Применением sytecaclient.exe и update.exe — компонентов Syteca, позволяющих вести мониторинг экрана и записывать нажатия клавиш, что обеспечивает сбор конфиденциальной информации;
  • Архивированием и выгрузкой конфиденциальных данных с помощью FreeFileSync и MegaSync;
  • Устранением следов активности, в частности, скрытием присутствия Syteca через SMBExec и PsExec.

Нетипичное поведение киберпреступников

Примечательно, что злоумышленники удерживались в сети жертвы около двух недель перед активацией программы-вымогателя Fog. Это контрастирует с ранее известными случаями, когда атаки Fog начинались с немедленного шифрования данных, как например проникновение через скомпрометированные VPN-учётные записи в учебных заведениях США.

Дополнительной необычностью стал факт создания постоянной службы после шифрования — тактика, скорее свойственная APT-группам и кибершпионажу, нежели обыкновенным программам-вымогателям. Это наводит на предположение, что Fog был использован не только для вымогательства, но и в качестве отвлекающего манёвра для продолжительного скрытого проникновения и сбора данных.

Важность анализа и повышения киберзащиты

Данный инцидент подчёркивает следующие ключевые моменты, актуальные для организаций и специалистов по кибербезопасности:

  • Эволюция атакующих стратегий — совмещение функций шпионажа и программ-вымогателей;
  • Использование легальных и широко доступных инструментов в злонамеренных целях;
  • Сложность выявления и устранения атак на этапе тихого присутствия злоумышленников;
  • Необходимость комплексного мониторинга и защиты инфраструктуры, включая контроль за легальным ПО, таким как Syteca;
  • Повышенная уязвимость почтовых серверов Exchange, требующих своевременного патчирования и усиленной защиты.

Эксперты рекомендуют усилить меры по предотвращению несанкционированного доступа и внедрению многоступенчатых систем обнаружения подозрительной активности, чтобы минимизировать риски подобных сложных и разноплановых кибератак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Атака программой-вымогателем Fog с шпионскими инструментами в финансовом секторе".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.