Fogランサムウェア、侵害されたVPN認証情報を介して米国組織を標的に

Arctic Wolf Labsは、ハイジャックされたVPNアクセスを通じて、主に教育およびレクリエーション分野の米国組織を攻撃する「Fog」と呼ばれる新たなランサムウェア亜種を発見しました。

2024年5月2日に初めて確認されたこれらの攻撃は、リモートアクセスツールの脆弱性と、それを悪用するために用いられる迅速な暗号化手法を浮き彫りにしています。

Arctic Wolfのインシデント対応チームは、2024年5月上旬から複数の事例を調査しており、いずれも米国の被害者が関与していました。内訳は教育分野が80%、レクリエーション分野が20%でした。

脅威アクターは、名称非公開の2社のベンダーに由来する侵害済みVPN認証情報を用いて侵入し、最後の活動は2024年5月23日に記録されました。

典型的なランサムウェアグループとは異なり、Fogは暗号化ツールの開発者と運用者を区別するために「亜種（variant）」と呼ばれており、その組織構造は依然として不明です。

攻撃チェーンと戦術

侵入者は迅速に権限を昇格させました。ある事例では、pass-the-hashにより管理者アカウントが狙われ、Hyper-VおよびVeeamサーバーへのRDPに利用されました。

別のケースでは、クレデンシャルスタッフィングが横展開に役立てられました。PsExecがホストへ拡散し、RDPとSMBがアクセスに使用されました。サーバー上ではWindows Defenderが無効化され、VMストレージ内のVMDKファイルが暗号化され、Veeamのオブジェクトストレージバックアップが削除されました。

システムに投下された身代金ノートは、固有のチャットコードを除いて同一の文面で、.onionサイトへリンクしていました。データリークサイトは確認されていません。暗号化されたファイルには拡張子 .FOG または .FLOCKED が付与されました。

暗号化ツールはサンプル間でコードブロックを共有しており、共通のソースを示唆します。%AppData%内のDbgLog.sysにログを出力し、スレッド割り当て（2～16プロセッサ）に向けてNtQuerySystemInformationを介してシステム情報を照会します。

JSON設定により、RSAPubKey、LockedExt、ノート名（readme.txt）、暗号化前に停止させるプロセス／サービスが指定されます。

探索にはFindFirstVolumeなどのWindows APIが使用されます。暗号化には非推奨のCryptImportKey/CryptEncryptが用いられます。暗号化後は、vssadmin delete shadows /all /quiet によりシャドウコピーが削除されます。

侵害指標（IoC）