Fogランサムウェアグループは、その方法を劇的にエスカレートし、洗練された攻撃で合法的な従業員監視ソフトウェアを武器化し、金融の強要と州レベルのスパイ行為の境界線を曖昧にします。身代金の需要がなされた後でも持続性を確立する-サイバーセキュリティのアナリストは、お金だけよりも深く、驚くべき動機を指し示すという戦術です。 SymantecのThreat Hunterチームによる詳細な分析によると、Fogのオペレーターは従業員の監視ツールSytecaを使用して偵察を実施しました。これは、攻撃者が従来のセキュリティアラートをトリガーせずにキーストロークをキャプチャしてアクティビティをスクリーニングできるようにする方法です。 src=”https://winbuzzer.com/wp-content/uploads/2025/06/spyware-keylogger.jpg”>
この「Living Off the Land」アプローチと、アクセス後のエクセレーションを維持するためのグループの決定と組み合わされて、単純なスマッシュアンド-Grab操作からのシンプルなスマッシュアンド-グラブ操作からのシンプルなシフトを示唆しています。世界中の組織の防御的な計算を変革しています。危険は、もはやデータが人質になっているだけでなく、企業環境全体の完全性がスパイのために妥協されていることについてです。 Black DuckのシニアマネージャーであるAkhil Mittalが述べたように、「この場合の本当の危険は身代金のメモではありません。それは、霧が単純なスクリーンレコーダーを隠されたカメラに変える方法です。」
事件は、ランサムウェアプレイブックが書き直されていることを明らかにし、セキュリティチームが自分の従業員を管理する可能性を強制することができます。
恐torからスパイ活動まで:新しい種類のランサムウェア
伝統的に、ランサムウェア攻撃には、破壊的なライフサイクルが明確になります。 Fog Groupの最近の行動は、このモデルに反しています。ランサムウェアを展開してから被害者のネットワークに持続的な足場を確立することにより、攻撃者は侵害された組織に継続的な関心を示しました。 Symantecの研究者は、攻撃に関するレポートで、この動作はランサムウェア操作のために非常に非定型であることを発見しました。攻撃者は、SecurityHealthironという名前の特定のサービスを作成して、継続的なアクセスを確保しました。このアプローチは、攻撃者を単なる泥棒から、一部のサイバーセキュリティの専門家が現在「不法占拠者」と呼んでいるものに変えています。脅威関係者は、即時の支払いではなく、被害者の長期的な価値を評価するために、ネットワーク上で静かに過ごします。最初の身代金は、アクセスの長期的な価値に二次的になります。このアプローチは、脅威の性質を根本的に変化させ、1回限りの金融危機から永続的な国家安全保障上の懸念に移行します。
土地からの生活:信頼できるツールが悪意のある
合法的なソフトウェアの兵器化は、この新しい攻撃パラダイムの中心です。 syteca のような信頼できるアプリケーションを乱用することにより、攻撃者は通常の管理タスクとブレンドされるため、ネットワーク内で検出されずに動作できます。この「土地から離れた生活」アプローチは標準になりつつあります。 bugcrowd。
彼は、攻撃者が既存の承認されたソフトウェアを使用することを好むと説明しました。なぜなら、「ログでより多くのノイズ」の作成を避け、新しいマルウェアの導入に伴う「検出の可能性」を減らすからです。霧発作では、オペレーターは、コマンドアンドコントロールにGoogleシートを使用するGC2を含むランサムウェアキャンペーンではめったに見られないオープンソースの浸透テストツールのコレクションを使用しました。戦術は霧グループに分離されていません。 5月からの以前の報告は、ハンターインターナショナルとQilinランサムウェアグループが、異なる従業員監視ツールであるKickidlerを武器化している方法を詳述しました。そのキャンペーンは、最初に synacktiv からの研究で、3月にabusing abusing for preting for preteded for syptrested of
used of treding for pret for syprented of synacktiv の研究を示しました。 a rvtools 。
ツールをダウンロードする疑いを持たない管理者は、代わりに
この攻撃ベクターは進化し続けています。攻撃者はGoogle広告を使用して、人気のあるソフトウェアを検索しているユーザーに、IcedIDバンキングトロイの木馬を配布する悪意のあるサイトに誘導しています。霧のランサムウェアは、以前に重要なソフトウェアの脆弱性を活用することが知られていましたが、a noted that while these tools create a “massive, centralized repository of sensitive data,”their terms of service often act as a “get-out-of-jail-free card for theベンダー。” これは、企業が監視システムを購入しながら、「壊滅的な障害に対して無意識のうちに自己妨害している」ことを事実上事実上意味します。これにより、企業は生産性追跡のために展開するツールが重要な、しばしば無保険のセキュリティとプライバシーの脆弱性を導入する不安定な立場に置かれます。 これらの傾向の収束-犯罪者が採用したスペシャの戦術、信頼できるソフトウェアの兵器化、およびSurveIllance Technologyの本質的なリスク- Podidable comperion <サイバーセキュリティの状況が変化していることを示す指標は、組織が従来の防御を超えて見て、ビジネスを運営するために使用するまさにそのツールのセキュリティに疑問を抱かせることを強制します。管理者のように見え、承認されたソフトウェアを使用している敵を擁護するには、新しいレベルの警戒と、もはやゲートだけでなく、すでに内部にある脅威をより深く理解する必要があります。