🚨 Découverte d’une infrastructure liée au ransomware Fog
En décembre 2024, les chercheurs du DFIR Report ont découvert un répertoire public exposé sur Internet, hébergeant des fichiers et scripts malveillants probablement utilisés par un affilié du groupe de ransomware Fog.
🔍 Techniques utilisées par l’attaquant
L’analyse du contenu a révélé l’emploi d’une large gamme d’outils offensifs permettant de :
- Obtenir un accès initial via des identifiants VPN SonicWall compromis ;
- Voler des identifiants Windows avec DonPAPI ;
- Exploiter Active Directory avec Certipy, Zer0dump ou encore noPac ;
- Maintenir un accès persistant via AnyDesk, configuré automatiquement par script PowerShell ;
- Contrôler les machines via Sliver C2 et se déplacer latéralement avec Proxychains ou Powercat.
🌍 Victimes ciblées
Les cibles identifiées appartenaient à des secteurs variés tels que :
- La technologie
- L’éducation
- La logistique
Les attaques ont visé des entreprises situées en Italie, Grèce, Brésil et aux États-Unis.
🧰 Focus technique : comment l’accès VPN a été automatisé
Le script sonic_scan.py lisait une liste d’identifiants VPN dans un fichier data.txt, puis utilisait l’utilitaire NetExtender pour se connecter automatiquement à chaque appliance SonicWall, lancer un scan réseau via Nmap, puis fermer la session.
📌 À retenir
Cette découverte illustre à quel point les infrastructures des groupes affiliés aux ransomwares peuvent être sophistiquées et industrialisées. Elle met aussi en lumière le rôle central que peuvent jouer des outils open source ou commerciaux dans la compromission de réseaux d’entreprise.
🔗 Source originale : https://thedfirreport.com/2025/04/28/navigating-through-the-fog/
🖴 Archive : https://web.archive.org/web/20250428091505/https://thedfirreport.com/2025/04/28/navigating-through-the-fog/