Bitsadmin

kpmg网络威胁情报平台

Medusa通常通过利用已知的公共资产或应用中的已知漏洞（例如Fortinet EMS SQL注入漏洞（CVE-2023-48788））获得访问权限。这允许攻击者操纵查询，执行远程代码并创建有效载荷交换的Webshel​​l。PowerShell脚本用于运行命令，渗透数据和部署勒索软件。脚本终止服务，使用TOR链接进行数据剥落，并执行加密。持久性是通过损坏的RMM工具（例如ConnectWise，PDQDeploy和Anydesk）建立的，并且对注册表密钥进行了修改以进行启动执行。发现过程验证了合法程序以掩盖迭代局势，并通过Bitsadmin进行转移。凭据是从LSASS获得的，诸如Bitsadmin和Psexec之类的工具用于在主机之间传输恶意文件。受Safengine Shielden保护的内核驱动程序被丢弃到目标并终止安全产品，并采用了WMI等技术来删除备份。不对称的RSA加密用于编码目标文件和目录，并用.medusa或.mylock之类的扩展名更名，但不包括关键系统文件，以确保某些公用事业保持功能。