FOG勒索軟件小組已經大幅度升級了其方法,在復雜的攻擊中武器化了合法的員工監控軟件,這使金融勒索和州級的間諜活動之間的界限模糊了。
在5月份的一項針對亞洲金融機構的運動中,該集團不僅要在亞洲的金融機構中進行範圍,而且還針對不僅限制了一個不僅限制的工具,因此將不僅限制的工具施加了不斷的工具,該工具的範圍是不努力的工具,該工具均已延長,不僅限制了不努力的工具,因此不斷地設計了unus的工具。即使在製定了贖金需求之後,加密和建立持久性也是如此-網絡安全分析師說,這是一種比單獨金錢更深入,更令人震驚的動機。
這種戰略演化對企業的重大威脅表示對企業的重大威脅,在這種情況下,信任的內部應用將變成秘密的間諜平台。根據Symantec的威脅獵人團隊的詳細分析,FOG的運營商使用員工監控工具Syteca進行偵察,該方法允許攻擊者捕獲擊鍵和屏幕活動而無需觸發常規安全警報。
This “living off the land”approach, combined with the group’s decision to maintain access post-encryption, suggests a calculated shift from a simple smash-and-grab operation to a long-term intelligence-gathering campaign.
The implications are深刻的,改變了全球組織的防禦演算。危險不再是關於將數據扣除的人質的,而是關於整個公司環境的完整性。正如黑鴨高級經理阿基爾·米塔爾(Akhil Mittal)所指出的那樣:“在這種情況下,真正的危險不是贖金的註釋-這是霧氣將簡單的屏幕記錄變成一個隱藏的相機。”
事件表明,勒索軟件劇本揭示了重新定位的蘭索軟件劇本,以迫使他們使用安全團隊來管理自己的可能性,他們可以搬運自己的可能性。
從敲詐勒索到間諜活動:一種新的勒索軟件
傳統上,勒索軟件攻擊具有清晰的,即使具有破壞性的,生命週期:滲透,加密,要求付款和退出。霧集團最近的行動無視該模型。通過部署勒索軟件後的幾天,在受害者的網絡上建立了持久的立足點,攻擊者表明了對受損組織的持續興趣。 Symantec的研究人員在他們的報告,發現這一行為非常高,發現這種行為對於搶劫行動而言是一種不可或缺的剝離,可能是剝奪Espionage的裁決。攻擊者甚至創建了一個名為SecurityHealthiron的特定服務,以確保其繼續訪問。
這種“棚戶”的心態是高級網絡犯罪群體的新興特徵。這種方法將攻擊者從單純的小偷轉變為一些網絡安全專家現在所說的“棚戶”。威脅行為者在網絡上保持安靜,而不是立即支付,而是要評估受害者的長期價值,在這種情況下,最初的贖金可以成為訪問的長期價值的初次贖金。這種方法從根本上改變了威脅的性質,將其從一次性的金融危機轉移到持續的國家安全問題。
生活在土地上:當可信工具變成惡意
合法軟件的武器化是這種新的攻擊範式的核心。通過濫用像Syteca這樣的值得信賴的應用程序,攻擊者可以在網絡中未能進行操作,因為他們的活動與正常的管理任務融為一體。這種“在陸地上生活”的方法已成為常態,
他解釋說,攻擊者更喜歡使用現有的,批准的軟件,因為它可以幫助他們避免在日誌中創建更多的“噪聲”,並減少引入新惡意軟件隨附的“檢測可能性”。在FOG攻擊中,操作員使用了勒索軟件活動中很少見的開源滲透測試工具,其中包括GC2,它使用Google表格進行命令和命令,以及 Synacktiv 的研究中,在3月份在3月份進行了類似的per note become so prevalent that a CISA alert issued on June 12, specifically warned that state-backed threat groups are actively using合法的遠程監控和管理(RMM)工具以逃避檢測,證實這是一個頂級安全問題。
數字前門:攻擊者如何進入
這些複雜攻擊的初始入境點通常與聰明的社交工程有關。在涉及Kickidler的攻擊中,操作員使用搜索引擎優化(SEO)中毒來促進惡意網站,這些網站冒充了為合法IT實用程序的下載頁面,例如 rvtools 。
下載該工具的毫無疑問的管理員將接收一個部署 smokeDham powershell.ne> simeDem powershell.ne> simeDem powershell.ne> simeDem powershell。 MITER ATT&CK。這種方法特別是陰險的,因為它利用了IT員工的高級特權來獲得強大的初始立足點。
此攻擊向量不斷發展。攻擊者正在使用Google廣告來指導用戶搜索流行軟件,以分發Icedid Banking Trojan的惡意網站。 While the Fog ransomware was previously known to exploit critical software vulnerabilities, such as a flaw in Veeam Backup and複製服務器,對SEO中毒和社會工程的日益依賴持續著眼於利用人類元素。
一把雙刃劍:工作場所監控的危險
攻擊者濫用員工監測軟件是盜竊者對固有風險的固有風險。即使沒有積極武器化,這些工具也會創建一個集中的敏感數據,以提出一個誘人的目標。當監視應用程序工作人員在線分享了超過2100萬名員工屏幕截圖時,四月份的洩漏強調了這種風險。暴露的數據包括內部文檔,通信和潛在可見密碼。
此事件在監視軟件行業中暴露了關鍵的責任差距。 According to a Electronic Frontier Foundation Staff Attorney Eva Galperin noted that while these tools create a “massive, centralized repository of sensitive data,”their terms of service often act as a “get-out-of-jail-free card for供應商。“
這有效地意味著公司正在購買監視系統,同時“在不知不覺中自我保護它,以抵制災難性的失敗”。 This places companies in a precarious position, where the tools they deploy for productivity tracking introduce significant, and often uninsured, security and privacy vulnerabilities.
The convergence of these trends—espionage tactics adopted by criminals, the weaponization of trusted software, and the inherent risks of surveillance technology—presents a formidable challenge.
The Fog ransomware attack is a clear indicator that網絡安全格局正在發生變化,迫使組織超越傳統防禦能力,並質疑他們經營業務的工具的安全性。防禦看起來像管理員並使用批准軟件的對手需要新的警惕性,並且對不再僅僅在大門而是內部的威脅有更深入的了解。
