資訊安全新聞

2025 年 Fog 勒索軟體進化：從加密到間諜戰的技術揭露

1 簡介

Fog 勒索軟體於 2024 年 4 月首次出現，是一種針對美國教育機構、通過入侵 VPN 憑證發動攻擊的複雜網路威脅，後來擴展至政府與金融部門。至 2025 年，Fog 演變為多重勒索操作，結合資料加密、資料外洩與心理戰（例如，在勒索訊息中嘲諷政府效率部門（DOGE）） 5 。其模組化設計支援加密參數、勒索訊息及目標處理程序的自訂，適應各種攻擊情境 2 。本報告剖析 Fog 的技術架構、感染生命週期、新穎工具及防禦對策。

2 技術架構分析

2.1 感染鏈與初始存取

Fog 採用多階段部署模型：

階段 1 ：釣魚郵件傳遞 ZIP 壓縮檔（例如， Pay Adjustment.zip ），內含惡意 LNK 檔案。這些檔案執行 PowerShell 指令，從攻擊者控制的網域下載 stage1.ps1 1 。
階段 2 ： stage1.ps1 取得次要 Payload：
- 二進位載入器（例如， cwiper.exe ）
- 權限提升工具（ ktool.exe ），利用易受攻擊的驅動程式如 iQVW64.sys 3
- 地理位置收集腳本（ lootsubmit.ps1 ），將系統資料外洩至 Netlify 應用程式 9
階段 3 ：攻擊者利用入侵的 VPN 憑證（例如，SonicWall）或未修補的漏洞（Veeam Backup 的 CVE-2024-40711）進行初始存取 6 。

2.2 加密機制

Fog 使用混合加密以提升效率與強度：

AES-256 ：為每個檔案生成唯一的對稱金鑰，以快速加密。
RSA-2048 ：使用嵌入的公鑰加密 AES 金鑰，並將密文附加至每個檔案 8 。
檔案處理 ：
- 附加副檔名 .FOG 、 .FLOCKED 或 .FFOG 4
- 跳過系統目錄（例如， Windows 、 Program Files ），以維持作業系統穩定性
- 通過 vssadmin.exe delete shadows /all /quiet 刪除 Volume Shadow Copies

Fog 勒索軟體命令列參數
參數	功能
`--nomutex`	繞過互斥鎖檢查，以進行並行處理
`--target`	指定自訂加密路徑
`--offvm`	終止虛擬機器處理程序（例如， `vmware-vmx.exe`)
`--showtalkid`	顯示攻擊 ID，無需加密檔案
--processallfiles	忽略副檔案名白名單

2.3 防禦規避與 Persistence

沙箱檢測 ：在執行前檢查處理器數量、記憶體、MAC 位址和登錄檔鍵值 7 。
安全工具禁用 ：使用 PowerShell 停用 Windows Defender 和端點保護 10 。
Persistence 機制 ：
- 建立服務（例如， SecurityHealthIron ），以在重新啟動後重新啟動 Payload
- 部署 Process Watchdog 監控並重新啟 GC2 後門
日誌記錄 ：生成 DbgLog.sys 記錄加密事件，但為了操作安全性將 lock_log.txt 自我加密 1 。

2.4 2025 年攻擊中的非傳統工具集

2025年5月針對亞洲一家金融公司的攻擊顯示 Fog 轉向間諜活動的工具集

Syteca（合法監控軟體） ：
- 通過 sytecaclient.exe 捕捉按鍵和螢幕截圖
- 載入 SoundCapture_7.20.576.0.dll 等 DLL 進行音頻監控 5
開源滲透測試工具 ：
- GC2 ：透過 Google Sheets/SharePoint 指令控制，執行 whoami 和 ipconfig 進行偵察 9
- Adaptix C2 ：模仿 Cobalt Strike 的 Beacon Agent，用於 C2 通訊
- Stowaway ：代理工具，傳送 Syteca Payload
資料外洩 ：使用 FreeFileSync 和 MegaSync 將竊取的資料同步至攻擊者控制的雲端 2 。

MITRE ATT&CK 技術與 Fog 的映射
策略	技術	工具/範例
初始存取	T1078：有效帳戶	入侵的 VPN 憑證
執行	T1059.003：PowerShell	`stage1.ps1` 載入器腳本
Persistence	T1543.003：服務建立	`sc create SecurityHealthIron...`
Exfiltration	T1567：網頁服務	`lootsubmit.ps1` → Netlify.app

3 與現有 Threat Actors 的關聯

Fog 與已知的勒索軟體團體共享基礎設施與 TTP

Akira/Conti 關聯 ：75% 的 Fog 透過 SonicWall VPN 的入侵與 Akira 勒索軟體基礎設施重疊。錢包追踪也將 Fog 付款與 Conti 相關位址連結 ⁶ 。
RaaS 類似模組化 ：雖然不是完整的 RaaS 模型，Fog 的 JSON 可配置 Payload 允許聯盟成員自訂：
```
{
  "RSAPubKey": "MIIB...",  
  "LockedExt": ".FLOCKED",  
  "ShutdownProcesses": ["vssvc.exe", "backup.exe"] 
}
```
這使得針對服務/處理程序的靈活目標設定成為可能 4 。

4 防禦建議

4.1 技術對策

修補管理 ：優先修補 VPN（例如，SonicWall CVE-2024-40766）與備份解決方案（Veeam CVE-2024-40711） 3 。
網路分段 ：隔離備份儲存庫與 Hyper-V 叢集，以限制側向移動 7 。
端點強化 ：
- 禁用不必要的 PowerShell/WMIC 存取
- 部署 AI 驅動的 EDR 解決方案，檢測 GC2 API 輪詢(polling )或 Syteca DLL 載入

4.2 運營實務

身份驗證 ：對所有 VPN/RDP 存取強制執行多因素驗證（MFA） 10 。
備份：維護不可變的離線備份，每週測試。
威脅獵捕 ：監控：
- eventSubId: 101 AND objectFilePath: /Users\\(Public)\\.*readme.txt/ （勒索訊息）
- 指示 PsExec / SMBExec 側向移動的 SMB 流量模式

5 結論

Fog 勒索軟體體現了網路犯罪與間諜活動的融合。其使用 Syteca 和 GC2 等合法工具進行隱秘偵察，同時快速加密（觀察案例中 ≤2 小時）最大化破壞力 8 。2025 年針對金融部門的攻擊，帶有後勒索續存續機制，顯示可能超越財務利益的國家相關目標。防禦者必須採用行為分析（例如，檢測異常地理定位 API）並假設憑證已遭入侵，以對抗 Fog 的演進工具集。未來研究應分析 Fog 針對 ESXi 環境的 Linux Payload，目前仍較少記錄。