勒索软件Mespinoza锁定美、英教育机构为攻击目标，运用RDP与多种开源工具入侵

勒索软件骇客组织Mespinoza（又称Pysa）自2020年开始发动攻击后，今年年初特别锁定美国、英国的教育机构，包括K-12学校、高等教育机构，以及神学院等发动攻击，使得美国联邦调查局（FBI）于3月中旬发出警告。最近资安业者Palo Alto Networks，透露该骇客组织更多攻击手法的细节──他们发现这个组织运用多个开源工具，而能在资源有限的情况下广泛发动攻击，受害组织遍及20个国家。

研究人员在监控Mespinoza的基础设施，包含了C2服务器的通讯，以及公布不愿支付赎金的受害组织资料的网站后，进而发现该组织不只攻击的范围遍布全球与许多产业，他们还将受害单位称为提供资金的“合作伙伴”，且采用异想天开的名称来命名作案工具。

究竟该组织攻击的范围有多广？Palo Alto指出，光是从Mespinoza架设的网站，骇客就宣称握有187个组织的资料，领域涵盖教育、制造业、零售业、医疗、-机构、高科技产业、交通运输，以及社会服务等产业。从遭到该组织攻击的地区来看，包含了加拿大、巴西、英国、意大利、西班牙、法国、德国等，但美国是最主要受到攻击的国家，因为，根据上述提及的资料外泄网站，有55%受害组织来自美国。

再者，Palo Alto认为Mespinoza在攻击的过程中相当“自律”，会确认是具有价值的资料才会窃取，但在加密电脑档案留下的勒索讯息里，该组织却又显得相当自大，讽刺受害组织的资安防护不利。例如，他们会在勒索讯息里FAQ留下“这样的情况究竟该如何向老板报告？”，并要受害者跟老板说：“好好保护你的系统吧！我的朋友。”。

从攻击者向受害组织索讨的赎金来看，Palo Alto指出，骇客会开价160万美元，而实际收到的赎金平均约为47万美元。

这个骇客组织入侵受害单位的管道，先前FBI就有提及是透过远端桌面存取（RDP），且安装开源工具并停用受害电脑的防护软件，再行部署勒索软件。而Palo Alto指出，Mespinoza运用了双重勒索的策略，也就是在植入勒索软件之前泄露机密资料，同时，该组织会安装名为Gasket的后门程式，来维持对于受害电脑的控制，这个程式具备名为MagicSocks的功能，该功能是由开源的Chisel开发而成，目的是建立攻击者能够持续存取的通道。

根据Gasket与MagicSocks的踪迹，以及Mespinoza在网站上提供窃得的资料，Palo Alto研判，这个骇客组织至少从2020年4月就开始行动，Gasket自2020年4月到2021年3月，总共出现001至021共14个版本。

此外，该公司分析后得知，Mespinoza使用Go语言编写Gasket，并使用开源工具Gobfuscate混淆酬载。这样的发现与先前法国国家资讯系统安全局（ANSSI）揭露的资讯相符。

为何攻击者选择RDP作为入侵的手段？Palo Alto认为，相较于钓鱼邮件、社交工程手法，或者是利用软件漏洞等方式，透过RDP能降低所需的时间和费用。除此之外，Mespinoza节省攻击成本的方式，还包括运用多个免费的开源工具，以及受害电脑内部现成的工具就地取材（LoL）等做法。

针对Mespinoza专门透过RDP入侵受害组织的现象，Palo Alto指出，由于攻击者很容易透过自动化的方式，来找寻可存取的RDP服务器发动攻击，他们引用自家的研究报告强调，近三分之一的资安问题与RDP有关，呼吁企业要加强与RDP存取相关的控管及防护。