1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Fog ランサムウェア:アジアの 金融機関を狙った“異質なツールセット”の実態

Fog ランサムウェア:アジアの 金融機関を狙った“異質なツールセット”の実態

セキュリティニュース

投稿日時: 更新日時:

Fog ランサムウェア:アジアの 金融機関を狙った“異質なツールセット”の実態

2025年6月12日、シマンテックはアジアの金融機関を狙うFog ランサムウェアについての調査報告書を公表しました。

そのレポートによると2025年5月、アジアのある金融機関が「Fog ランサムウェア」による攻撃を受けました。表面的にはよくあるランサムウェアの被害に見えますが、実際に使われたツール群や攻撃の進め方はそれまでの内容と大きく違っていました。

攻撃の流れ:静かに侵入し、じっくり支配

初期の感染経路は不明ですが、攻撃者は、約2週間にわたって被害企業のネットワーク内に潜伏していたと見られています。その間、各種ツールを用いてネットワーク内の調査、権限昇格、横展開を行い、最終的にFogランサムウェアを展開しました。

しかし、Fog展開後も攻撃は終わりませんでした。数日後、攻撃者は“サービス”として不審なプロセスを登録し、システムへの永続的なアクセスを維持しようとしています。これは典型的なランサムウェアの流れ(データを奪って終わり)とは明らかに違います。

初期侵入(Initial Access)

侵入経路は特定されていないものの、被害環境ではExchange Serverが2台感染していたという情報があります。これまでFogはVPNアカウントの漏洩や、Veeamのクリティカルな脆弱性(CVE-2024-40711)などを悪用してきた経緯もあるため、同様のルートが使われた可能性は十分考えられます。

このあたり、境界防御だけに頼る体制だと特に危うい部分ですね。

内部偵察(Reconnaissance)

侵入してすぐに実行されたのが、GC2という特殊なC2ツールを使ったネットワーク調査です。GC2はGoogle SheetsやSharePointを使ってコマンドをやり取りできるため、外部との通信も正規トラフィックに紛れてしまいます。

実行されたコマンドは、whoamiipconfig /allnetstatなど、一般的な調査系コマンド。これで内部の構成や重要なサーバを把握していったと見られます。

横展開と権限昇格(Lateral Movement & Privilege Escalation)

その後、SMBExecやPsExecを使ってネットワーク内を横断。Stowawayというプロキシツール経由で、複数台にSyteca(監視ソフト)をばら撒いていました。

さらに、Adaptix C2というCobalt Strikeの代替的なOSSツールまで導入。つまり、外部から常時遠隔操作できる体制を複数用意していたことになります。

情報収集と証拠隠滅

監視ソフトを動かした後は、プロセスを強制終了し、設定ファイルや実行ファイルを削除するなど、しっかり痕跡も消していました。ここまでやるということは、少しでも長く気づかれずに滞在したいという意図があります。

こういう「手慣れた消し方」を見ると、単発の金銭目的というより、組織的な犯行の印象が強くなります。

ランサムウェア展開と“その後”

ネットワーク内での活動が約2週間続いたあと、ようやくFogランサムウェアが展開されました。ただ、普通ならここで攻撃は終わるはずです。

ところが今回は、Fogをばら撒いた数日後に、不審なWindowsサービスを新たに登録して永続化の処理が仕込まれていました。恐らく、GC2や他のバックドアプロセスを監視・維持するための処理です。端末が再起動してもアクセスが維持されるようになっていたと考えられます。

ここまでくると、もはや“データを人質に取って金を要求するだけの攻撃”ではありません。対象企業を長期間コントロールし続けようとしていたことが明らかで、情報収集や諜報目的が中心で、ランサムはあくまでおまけのように活動しています。

特徴的だったツール群

Syteca(旧Ekran System)

正規の従業員監視ツール「Syteca」を使っていた点です。画面録画やキーロガー機能を備えており、導入企業では内部統制の一環として利用されることもあります。今回は“update.exe”などに偽装されていました。

実行後に各種DLLを登録解除するなど、痕跡を隠そうとした形跡も見受けられました。おそらくキーログや画面キャプチャを盗み見る目的で使われたと思われます。

GC2(Google Command and Control)

Google SheetsやSharePointをC2(コマンド&コントロール)として使い、ネットワーク内の端末にコマンドを送信できるという代物。中国系ハッカー集団 APT41も使用していたツールですが、これ以降使用された形跡がなく、法人向け攻撃では珍しいものです。

その他のツール

  • Stowaway:プロキシ通信を使った横展開。Sytecaの配布にも使われました。

  • Adaptix C2 Beacon:Cobalt Strikeのオープンソース版とも言えるポストエクスプロイト用のC2エージェント。

  • PsExec/SMBExec/Impacket:いわゆる“Living off the Land”ツールで、社内でも管理用に利用されているケースも多く、悪用されると非常に厄介です。

  • 7-Zip/FreeFileSync/MegaSync:ファイルの圧縮や持ち出しに使用。

参照

https://www.security.com/threat-intelligence/fog-ransomware-attack

 

関連記事

Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 WordPressの人気プラグイン「LiteSpeed Cache」で危険度の高い脆弱性(CVE-2024-50550)WordPressの人気プラグイン「LiteSpeed Cache」で危険度の高い脆弱性(CVE-2024-50550) 9,000台超のASUSルーターが不正アクセスによる侵害、永続的バックドアでボットネット化しサイバー攻撃に悪用9,000台超のASUSルーターが不正アクセスによる侵害、永続的バックドアでボットネット化しサイバー攻撃に悪用 悪意のあるGoパッケージがLinuxおよびmacOSを標的としたマルウェアローダーを配布悪意のあるGoパッケージがLinuxおよびmacOSを標的としたマルウェアローダーを配布 SonicWall SSL VPNの脆弱性(CVE-2024-40766)を狙ったFogおよびAkiraランサムウェア攻撃の増加SonicWall SSL VPNの脆弱性(CVE-2024-40766)を狙ったFogおよびAkiraランサムウェア攻撃の増加 Fortinetのゼロデイ脆弱性(CVE-2025-32756)のPoCが公開-実環境でサイバー攻撃への悪用が進行中Fortinetのゼロデイ脆弱性(CVE-2025-32756)のPoCが公開-実環境でサイバー攻撃への悪用が進行中 BadSuccessor:Windows Server 2025の新機能dMSAを悪用したActive Directory支配の脅威BadSuccessor:Windows Server 2025の新機能dMSAを悪用したActive Directory支配の脅威 Default ThumbnailRust PHP Node.js Haskellなど複数のプログラミング言語に影響するWindows環境の引数エスケープ処理に関する脆弱性が発生 ランサムウェア グループ AkiraがIPカメラを介してサイバー攻撃と不正アクセスランサムウェア グループ AkiraがIPカメラ(Webカメラ)を介してサイバー攻撃と不正アクセス