NightSpireは2025年初頭の発見以来、古典的な二重恐喝戦術とステルス侵入技法を組み合わせた重大なランサムウェア脅威として急速に浮上しました。このマルウェアは被害者のデータを暗号化するだけでなく、機密ファイルを流出させ、身代金要求に応じない場合はTorベースのリークサイトで公開すると脅かします。
2025年3月から6月のわずか3ヶ月間で、NightSpire演者は33カ国にわたる少なくとも64の組織を侵害しました。米国が最も多くの被害者数を報告し、その後にトルコ、香港、日本、台湾、メキシコ、スペイン、エジプトが続きました。
このランサムウェアは、医療、政府、金融、製造、ITサービスなど幅広い業界に影響を与えており、特定業界を対象とするキャンペーンではなく、広範な標的戦略を示唆しています。
その急速な拡散と運用効率は、検出を回避し、侵害された環境内の持続性を維持するために正規のツールを活用している、良く組織された脅威グループを強調しています。
疑いを生じさせる可能性のあるカスタム持続化メカニズムを展開する代わりに、攻撃者はChrome Remote DesktopやAnyDeskなどの正規のリモート管理ツールに頼っています。これらのツールにより、攻撃者は通常のシステムアクティビティに溶け込みながら、長期的なアクセスを維持できます。
観察された侵入では、Chrome Remote DesktopがWindowsサービスとしてインストールされ、攻撃者が管理するアカウントに結合された継続的なリモートコントロールが可能になりました。
同様に、AnyDeskはシステムサービスとスタートアップ持続化の両方で構成され、システムの再起動後もアクセスを確保します。これらのツールは正規のIT操作で広く使用されているため、このアプローチは検出の可能性を低減します。
内部に侵入すると、攻撃者は操作を促進するために追加の信頼できるユーティリティを展開します。「Everything」検索ツールは、システム全体にわたって価値のあるファイルを迅速にインデックスして位置特定するために使用されます。
Picusによると、NightSpire攻撃は、エンタープライズ環境における一般的なエントリーポイントであるRemote Desktop Protocol(RDP)を通じた不正アクセスから始まることが多いです。
選択されたデータは7-Zipを使用して圧縮され、検査を防ぐためにパスワード保護が行われることがよくあります。最後に、MEGAAsyncクライアントを使用してアーカイブされたデータをMEGAクラウドストレージに流出させ、暗号化が始まる前にデータ盗難フェーズを完了します。
NightSpire ランサムウェア、RDPを悪用
NightSpireエンクリプタはGoで記述されており、これは脅威アクターが携帯性とクロスプラットフォームコンパイルの容易性のために益々支持するプログラミング言語です。これにより、同じコードベースは最小限の変更でWindows、Linux、macOS環境に適応でき、脅威の到達範囲を拡大します。
実行時に、ランサムウェアはすべてのアクセス可能なディレクトリとドライブをスキャンし、ファイルを体系的に暗号化して「.nspire」拡張子を追加します。また、影響を受けたすべてのフォルダに身代金メモを配置します。
特に、NightSpireはOneDriveと同期されたファイルを対象にすることで、ローカルストレージ以上の影響を拡大し、クラウド同期の前中に効果的にデータを暗号化します。
身代金メッセージは、ローカルとクラウドベースの両方のファイルが侵害されたことを被害者に警告し、支払いの圧力を強化します。オンプレミスとクラウドデータの両方に対するこの二重の影響は、標的組織の運用的混乱を大幅に増加させます。
セキュリティチームは、Picus Security Validation Platformなどの侵害および攻撃シミュレーションツールを使用して、NightSpireに対する防御を積極的にテストすることをお勧めします。
Picus Threat Libraryには、ダウンロードベースの攻撃に対するThreat ID 79926やメールベースの配信に対する95001などの特定のシナリオが含まれており、組織が現実的な攻撃チェーンに対する検出および応答機能を評価できます。
NightSpireが進化し続けると、正規のツールの使用は、効率的なデータ流出とクロスプラットフォーム暗号化と組み合わせて、防御者が積極的に準備する必要がある深刻で適応可能なランサムウェア脅威になります。
翻訳元: https://gbhackers.com/nightspire-ransomware-abuses-rdp/
