HackerNews 编译，转载请注明出处：

赛门铁克安全团队近日披露，亚洲某金融机构上月遭遇Fog勒索软件攻击。该事件因攻击者使用非常规工具链及战术引发研究人员高度关注，其异常特征包括：

• 非典型工具植入
  首次在勒索攻击中发现合法员工监控软件Syteca的滥用。该软件通常用于企业记录员工屏幕活动、追踪键盘输入等行为，但在此次攻击中被黑客武器化。
• 开源渗透工具滥用
  攻击者部署多款非常规开源渗透测试工具（具体工具未公开），此类工具此前极少出现在勒索攻击前期准备阶段。
• GC2渗透框架的异常使用
  利用GC2框架通过Google Sheets/Microsoft SharePoint远程执行指令，并经由Google Drive/SharePoint实现数据外泄。该手法虽在2023年APT41攻击中出现过，但在勒索攻击中尚属首次。
  

攻击者在部署勒索软件后，竟反常地尝试建立持久化访问权限。赛门铁克高级情报分析师Brigid O Gorman指出：“绝大多数勒索攻击在完成数据窃取与加密后即终止，而此次攻击者表现出明确的网络持续控制意图。”

赛门铁克专家提出两种可能性：

• 勒索攻击可能仅是间谍行动的伪装，真实目的是长期渗透。
• 不排除黑客“顺带牟利”策略——在实施间谍活动同时通过勒索获取额外收益。
  

攻击路径与技术细节

• 初始入侵点：2台存在长期漏洞的Microsoft Exchange服务器被攻陷，此为勒索团伙常用入口
• 潜伏周期：攻击者在受害网络内部潜伏长达两周才启动勒索程序
• 痕迹清除：专项清理操作日志等数字证据，增加溯源难度
• 工具作用存疑：Syteca具体用途尚未明确，推测可能用于信息窃取或间谍监控
  

BeyondTrust技术总监James Maude补充道：“黑客越来越多地滥用合法软件，既能规避安全检测，又可集中资源进行社会工程攻击——尤其在用户拥有本地管理员权限的环境中，此类战术效果显著。”

Fog勒索组织背景补充

该组织自2024年5月活跃，早期专注攻击美国教育机构（如俄克拉荷马大学）。其曾以“政府效率部（DOGE）”名义发送钓鱼邮件，借埃隆·马斯克相关话题嘲讽受害者，引发媒体关注。此次针对金融机构的复杂攻击，标志其战术升级与目标扩张。

赛门铁克最终结论：虽无确凿证据指向特定国家支持，但异常工具使用、持久化企图及勒索-间谍双重动机特征，表明这绝非普通勒索攻击，其背后可能隐藏更精密的地缘政治意图。