Теперь жертва сама платит за шпионаж. Хакерам Fog осталось лишь налить себе кофе

Преступная группировка, стоящая за вредоносной программой Fog, внедрила необычный набор инструментов для атак, в который вошли легитимные программы слежения и редкие open-source утилиты. Это позволило злоумышленникам обойти стандартные методы защиты и незаметно проводить шпионские операции внутри заражённых сетей.

Атаки группы Fog впервые были зафиксированы в мае 2024 года. Тогда злоумышленники проникали в сети жертв через скомпрометированные учётные данные VPN. Получив доступ, они применяли технику pass-the-hash » для повышения привилегий, отключали встроенную защиту Windows Defender и шифровали все данные, включая образы виртуальных машин. Позже операторы Fog начали использовать уязвимости в серверах Veeam Backup & Replication, а также уязвимые SSL VPN-устройства от SonicWall.

Новый всплеск активности группировки был замечен в мае специалистами Symantec и аналитиками из Carbon Black во время расследования инцидента в одной финансовой организации в Азии. На этот раз злоумышленники применили целый ряд непривычных для вымогателей инструментов, ранее не встречавшихся в аналогичных атаках.

Одной из самых неожиданных находок стала программа Syteca (ранее известная как Ekran) — это легальный корпоративный софт, предназначенный для мониторинга сотрудников, включая запись экрана и отслеживание нажатий клавиш. В руках киберпреступников такой инструмент превращается в мощное средство для скрытого сбора логинов и паролей, вводимых ничего не подозревающими пользователями.

Для доставки Syteca применялся Stowaway — прокси-инструмент с открытым исходным кодом, позволяющий тайно передавать файлы и управлять соединениями. Запуск происходил через SMBExec — аналог PsExec в составе популярной библиотеки Impacket, часто применяемой для латерального перемещения в сетях.

Кроме этого, было зафиксировано использование GC2 — редкой в таких атаках программы для постэксплуатации. Этот инструмент управляется через Google Sheets или Microsoft SharePoint и может использоваться как канал связи с командным сервером или для вывода украденной информации. Ранее GC2 была замечена только в операциях, связанных с китайской APT -группой APT41.

В составе инструментария группы Fog также обнаружены:

• Adapt2x — альтернатива Cobalt Strike, используемая для постэксплуатации;

• Process Watchdog — утилита мониторинга, перезапускающая важные системные процессы;

• PsExec — классическая утилита Microsoft для удалённого выполнения команд;

• Impacket SMB — Python-библиотека, которая позволяет напрямую взаимодействовать с протоколом SMB, вероятно использовалась для развёртывания самого шифровальщика.

Для подготовки и вывода данных на внешнюю инфраструктуру злоумышленники задействовали набор утилит: 7-Zip для архивации, MegaSync и FreeFileSync — для передачи файлов.

Специалисты Symantec подчёркивают, что выбранные инструменты делают атаку нетипичной: использование легитимного корпоративного ПО и редких средств управления, как Syteca и GC2, ранее не фиксировалось в вымогательских кампаниях. Это помогает преступникам оставаться незамеченными, обходить системы обнаружения угроз и действовать дольше внутри скомпрометированных сетей.