NightSpireは急速に深刻なグローバル脅威として台頭しており、33カ国にわたるネットワークに侵害の痕跡を残しています。
2025年初頭に初めて確認されたこの二重脅迫型ランサムウェアファミリーは、機密システムを暗号化し、被害者が身代金の支払いを拒否した場合にはTorベースのウェブサイトで窃取したデータを公開すると脅迫します。
2025年3月から6月の間だけで、NightSpireは少なくとも64の組織に侵入し、米国、トルコ、香港、日本を集中的に標的にしました。
この脅威アクターは業種を問わず、医療機関、政府機関、金融セクター、物流事業者を容赦なく攻撃しています。
静かに活動し、環境寄生型(LotL)手法を駆使することで、このグループは従来のセキュリティ境界を突破し、重要なビジネスデータを窃取・ロックしています。
2026年3月に記録された最近の侵入事例では、NightSpireのオペレーターは正規ソフトウェアを悪用する強い傾向を示しました。
攻撃者は通常、公開されたリモートデスクトッププロトコル(RDP)接続を通じて標的エンドポイントへの初期アクセスを取得します。
セキュリティソフトウェアに検出されやすいカスタムマルウェアを永続化のために展開するのではなく、信頼された遠隔管理ツールをインストールして不可視の足がかりを維持します。
脅威アクターはChrome Remote DesktopおよびAnyDeskを展開し、継続的なアクセスを確保します。最近の攻撃では、攻撃者が制御するGoogleアカウント(prince1990905@gmail[.]com)にリンクされた永続的なWindowsサービスを作成しました。
別のエンドポイントでは、システム起動時に実行されないようスタートアップフォルダからAnyDeskのショートカットを削除しました。正規アプリケーションのこのような悪用は、ステルス性を高める効果的な隠れ蓑となっています。
voidtools製のEverythingは、ストレージドライブ全体をスキャンし、価値あるファイルを迅速に特定するために使用されます。
脅威アクターは7-Zipを展開し、財務・業務関連の対象フォルダをパスワード保護されたアーカイブに圧縮します。攻撃者はMEGAsyncを使用して、ステージングされたアーカイブをMEGAクラウドストレージサーバーに密かにアップロードします。
Picus Securityの調査によると、NightSpireの暗号化ツールはGoで記述されたポータブル実行ファイルです。このプログラミング言語により、脅威アクターはWindows、Linux、macOS向けにマルウェアを容易にコンパイルできます。
実行されると、ペイロードはコンソールウィンドウを起動し、アクセス可能なすべてのドライブパスを体系的にスキャンします。発見されたファイルを暗号化し、ファイル名に.nspire拡張子を追加し、影響を受けたすべてのディレクトリに身代金要求メモを投下します。
注目すべき点として、このランサムウェアはOneDriveに同期中のファイルも暗号化します。ただし、クラウドストレージ上のファイル拡張子はあえて変更しないため、さらなる混乱を招きます。
この高度な脅威からネットワーク環境を保護するため、サイバーセキュリティチームは防御策を検証し、不正なネットワークツールを監視する必要があります。
リモートデスクトップサービスをVPN(仮想プライベートネットワーク)の背後に配置し、多要素認証を徹底してください。AnyDeskやChrome Remote Desktopなどのリモート管理ソフトウェアの不正インストールを追跡してください。
業務上必要な場合を除き、MEGAなどの未承認クラウドストレージプラットフォームへのネットワークトラフィックを制限してください。
セキュリティチームは、脅威インテリジェンスプラットフォームを使用してNightSpireに対する防御策のシミュレーションと検証を行うことができます。
たとえば、Picus Security検証プラットフォームには、このランサムウェアファミリーに対する環境の耐性をテストするための専用モジュールが含まれています。
翻訳元: https://cyberpress.org/nightspire-abuses-admin-tools/