该组织采用精密的工具组合，包括SonicWall扫描器、DonPAPI工具、Certipy工具等，进行网络侦察、凭证窃取、权限提升和命令控制。

　　4.其中两起典型攻击案例包括巴西网站br的数据泄露和希腊零售集团Fourlis的内部域信息被发现。

　　DFIR Report威胁情报组的最新调查报告揭示了Fog勒索软件组织日益猖獗的攻击活动，该组织采用精密的工具组合对全球多个行业实施网络入侵。

　　Fog组织最早于2024年年中被发现，其攻击能力涵盖网络侦察、凭证窃取、权限提升和命令控制（C2）等全链条操作。调查人员在一个疑似由Fog附属团伙运营的服务器（194.48.154.79:80）上发现了公开目录，其中包含完整的攻击工具集：

　　AnyDesk远程工具：通过PowerShell脚本部署，使用默认密码Admin#123建立隐蔽持久化访问

　　报告特别指出：攻击者使用Proxychains和Powercat实现隐蔽横向移动和反向Shell。通过ProxychainsVPN 在线代理，攻击者能够从C2服务器执行命令，同时在受感染终端上留下极少痕迹。

　　暴露服务器上的数据显示，Fog主要针对科技、教育、交通和零售行业，地理范围覆盖意大利、希腊、巴西和美国。其中两起典型攻击案例包括：

　　该开放目录服务器曾短暂在31337端口运行Sliver团队服务器，后迅速下线。值得注意的是，服务器通过Clouvider(AS62240)租用——这是多个威胁组织常用的C2基础设施提供商。报告最终评估认为：该开放目录极可能由Fog勒索软件组织的附属团伙使用。