Атака программой-вымогателем Fog с шпионскими инструментами в финансовом секторе

Атака программой-вымогателем Fog на азиатское финансовое учреждение: новый уровень угроз

В мае 2025 года финансовое учреждение в Азии стало объектом сложной и мало типичной кибератаки с использованием программы-вымогателя Fog. Инцидент привлек внимание экспертов благодаря применению необычного набора инструментов, сочетающих как легальные, так и специализированные средства для проникновения и последующего контроля над сетью жертвы.

Использованные инструменты и тактики злоумышленников

В атаке был задействован широкий спектр программных средств, среди которых выделяются:

• Syteca — легальное ПО для мониторинга сотрудников, впервые зафиксированное в связке с программой-вымогателем;
• Инструменты с открытым исходным кодом — GC2, Adaptix и Stowaway, редко используемые в операциях с ransomware;
• Средства для горизонтального перемещения внутри сети — PsExec и SMBExec;
• Утилиты для передачи и архивации данных — FreeFileSync и MegaSync;
• Командно-контрольный агент Adaptix C2 Agent Beacon, аналог платформы Cobalt Strike framework;
• Использование Impacket SMB в день активации программы-вымогателя, что вероятно способствовало успешному развертыванию вредоносного ПО.

Особенности хода атаки

Злоумышленники проникли в целевую инфраструктуру, предположительно через скомпрометированные серверы Microsoft Exchange, известные своими уязвимостями. Восстановление доступа и скрытное продвижение по сети сопровождались:

• Установкой сервисов для длительного присутствия в сети, что необычно для традиционных атак с программами-вымогателями, которые обычно завершают активность сразу после шифрования данных;
• Использованием GC2 для отправки команд через Google Sheets и SharePoint Lists, а также для извлечения файлов и выполнения произвольных shell-команд;
• Применением sytecaclient.exe и update.exe — компонентов Syteca, позволяющих вести мониторинг экрана и записывать нажатия клавиш, что обеспечивает сбор конфиденциальной информации;
• Архивированием и выгрузкой конфиденциальных данных с помощью FreeFileSync и MegaSync;
• Устранением следов активности, в частности, скрытием присутствия Syteca через SMBExec и PsExec.

Нетипичное поведение киберпреступников

Примечательно, что злоумышленники удерживались в сети жертвы около двух недель перед активацией программы-вымогателя Fog. Это контрастирует с ранее известными случаями, когда атаки Fog начинались с немедленного шифрования данных, как например проникновение через скомпрометированные VPN-учётные записи в учебных заведениях США.

Дополнительной необычностью стал факт создания постоянной службы после шифрования — тактика, скорее свойственная APT-группам и кибершпионажу, нежели обыкновенным программам-вымогателям. Это наводит на предположение, что Fog был использован не только для вымогательства, но и в качестве отвлекающего манёвра для продолжительного скрытого проникновения и сбора данных.

Важность анализа и повышения киберзащиты

Данный инцидент подчёркивает следующие ключевые моменты, актуальные для организаций и специалистов по кибербезопасности:

• Эволюция атакующих стратегий — совмещение функций шпионажа и программ-вымогателей;
• Использование легальных и широко доступных инструментов в злонамеренных целях;
• Сложность выявления и устранения атак на этапе тихого присутствия злоумышленников;
• Необходимость комплексного мониторинга и защиты инфраструктуры, включая контроль за легальным ПО, таким как Syteca;
• Повышенная уязвимость почтовых серверов Exchange, требующих своевременного патчирования и усиленной защиты.

Эксперты рекомендуют усилить меры по предотвращению несанкционированного доступа и внедрению многоступенчатых систем обнаружения подозрительной активности, чтобы минимизировать риски подобных сложных и разноплановых кибератак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.