2026-01-11 01:07:50 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： ArcticWolfLabs披露Fog勒索软件借盗用VPN凭证专袭美教育与娱乐机构，攻击链含哈希传递、PsExec横向、Defender禁用、Veeam备份删除及卷影清除；加密器共享代码块，配置JSON指定RSA公钥与终止进程，遗留.fog/.flocked扩展名与readme.txt，未现数据泄露站点。 综合评分： 87 文章分类： 恶意软件,漏洞分析,威胁情报,应急响应,VPN安全

cover_image

Fog勒索软件通过被盗用的VPN凭证攻击美国企业

原创

网络安全9527

安全圈的那点事儿

2026年1月10日 09:42 北京

Arctic Wolf Labs 发现了一种名为“Fog”的新型勒索软件变种，该软件通过劫持 VPN 访问攻击美国组织，主要攻击教育和娱乐机构。

这些攻击最早于2024年5月2日被发现，凸显了远程访问工具的漏洞以及利用这些漏洞所采用的快速加密策略。

北极狼事故响应小组从 2024 年 5 月初开始调查多起案件，所有受害者均来自美国：80% 来自教育部门，20% 来自娱乐部门。

威胁行为者利用从两家未具名供应商处窃取的 VPN 凭证入侵，最后一次活动记录于 2024 年 5 月 23 日。

与典型的勒索软件组织不同，Fog 被称为“变种”，以区分加密器开发者和运营者，其组织结构仍然不明。

攻击链和战术

入侵者迅速提升了权限。其中一起案例中，攻击者利用哈希传递攻击技术，针对Hyper-V和Veeam服务器的远程桌面连接（RDP）管理员账户发起攻击。

凭证填充攻击帮助攻击者横向扩散到其他目标。PsExec 感染扩散到多台主机，并通过 RDP 和 SMB 协议进行访问。服务器上的Windows Defender被禁用；虚拟机存储中的 VMDK 文件被加密；Veeam 对象存储备份被删除。

投放到系统中的勒索信内容相同，只是聊天代码各不相同，链接到一个 .onion 网站，未发现数据泄露网站。.FOG 或 .FLOCKED 扩展名标记着加密文件。

加密器在不同样本间共享代码块，表明其来源相同。它会将日志记录到 %AppData% 目录下的 DbgLog.sys 文件中，并通过 NtQuerySystemInformation 查询系统信息以获取线程分配信息（2-16 个处理器）。

JSON 配置指定了 RSAPubKey、LockedExt、注释名称（readme.txt）以及要在加密前终止的进程/服务。

发现过程使用类似 FindFirstVolume 的Windows API。加密过程采用已弃用的 CryptImportKey/CryptEncrypt 函数。加密后：vssadmin delete shadows /all /quiet 命令会清除卷影副本。

关键战术、技术和程序 (TTP) 及工具

妥协的迹象

| 类型 | 指标 | | — | — | | SHA1 | f7c8c60172f9ae4dab9f61c28ccae7084da90a06 (lck.exe)北极狼 | | SHA1 | 507b26054319ff31f275ba44ddc9d2b5037bd295 (locker_out.exe)arcticwolf | | IP | 5.230.33[.]176 (VPN 登录)arcticwolf | | 文件名 | readme.txt、DbgLog.sys、Veeam-Get-Creds.ps1arcticwolf | | 拓展名 | .flocked，.fogarcticwolf |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿网络安全9527《Fog勒索软件通过被盗用的VPN凭证攻击美国企业》