謊稱美國政府效率部，勒索軟體Fog打著政府機構的名號犯案

最近兩到三年，不斷有新的勒索軟體出現，這些駭客通常都在短短幾個月攻擊大量受害組織，從而得到資安圈的關注，但如今有新興的駭客團體打著美國政府團隊的名號，吸引研究人員的目光。

趨勢科技近期發現勒索軟體Fog最新一波攻擊行動，他們一共在惡意軟體分析平臺VirusTotal看到9個惡意酬載，這些檔案上傳的時間介於3月27日至4月2日，一旦執行，受害電腦的檔案就會被加密，並將副檔名竄改成.flocked，然後留下勒索訊息。特別的是，研究人員發現駭客在勒索訊息當中，自稱是美國的政府效率部（Department of Government Efficiency，DOGE），由於3月底DOGE才有成員被起底疑似曾協助網路罪犯竊取資料，這樣的情況引起他們注意。

針對攻擊行動發生的過程，趨勢科技指出駭客透過釣魚郵件接觸受害組織，信件挾帶聲稱是與調整薪資有關的LNK附件，一旦收信人開啟，電腦就會下載PowerShell指令碼stage1.ps1並執行，啟動多階段的攻擊流程，接收勒索軟體載入工具及其他的PowerShell指令碼。附帶一提的是，stage1.ps1還會在受害電腦開啟與政治有關的YouTube影片，但為何攻擊者這麼做，研究人員沒有說明。

在攻擊過程裡，駭客利用Ktool.exe提升權限，並搭配存在弱點的Intel網路卡診斷驅動程式iQVW64.sys來達到目的。

最終駭客在執行勒索軟體之前，藉由檢查受害電腦的系統配置，例如：處理器數量、記憶體、MAC位址、系統登錄檔等資訊，來判斷是否在沙箱環境，排除後才會加密電腦檔案並留下勒索訊息。