フォローする 
概要
NightSpireは、ランサムウェアファミリーで、 Ransomware-as-a-Service スタイルのデリバリーモデルで運用されているようです。組み込みのLiving-off-the-landのバイナリに大きく依存するのではなく、オペレーターは サードパーティのユーティリティ を持ち込んで永続性、データステージング、エクスフィルトレーションを行う傾向があり、手動の活動を示しています。2025年初頭から2026年3月までの事例が確認されており、通常、攻撃者によるツールの手動展開が含まれます。一般的な指標には、カスタムの暗号化バイナリ、 .nspire で終わる暗号化されたデータのファイル拡張子、そして一貫した命名規則に従う身代金のメモが含まれます。
調査
Huntressの調査員は、攻撃者が RDPを通じてアクセスし、その後、 Chrome Remote Desktop をインストールしてインタラクティブな制御を維持することを報告しています。侵入者はその後、 Everything, 7-Zip、および MEGASync のようなツールを使用して貴重なデータを特定し、ステージング用にパッケージし、エクスフィルトレーションを行いました。後のステップでは、ホスト上に VMware Workstation and WPS Office が導入されました。永続性の痕跡は複数のエンドポイントで確認され、NightSpireの暗号化プログラム(enc.exe)は、個別の事例で異なる SHA-256 値で出現しており、操作ごとに構築または再パッキングされていることが示唆されています。
緩和策
不正なリモートアクセスツール(特に新規RDP関連ユーティリティとChrome Remote Desktop)、サードパーティのアーカイバーや同期クライアントの不自然なインストール、および .nspireで終わるファイルの作成を監視します。未知のバイナリの実行をブロックし、遠隔アクセスに対する最小特権の制御を厳格化することで露出を減らします。定期的なバックアップを保持し、破壊的な改ざんを防ぐために Volume Shadow Copy の保護を確保します。
対応
NightSpireの活動が疑われる場合は、影響を受けたシステムを隔離し、インストールされたユーティリティとランサムウェアのペイロードの法医学証拠を保存し、アクティブなリモートデスクトップセッションを終了します。検証済みのクリーンなバックアップから復元し、暗号化ツールが完全に除去されたことを確認します。エンタープライズ全体で同じツールセットと関連的なアーティファクトを探索し、再発パターンと隣接するオペレーターの行動を検出するために検出コンテンツを更新します。
graph TB %% Class definitions classDef technique fill:#99ccff classDef tool fill:#ffcc99 %% Nodes – Techniques init_access[“<b>テクニック</b> – T1078 有効なアカウント<br/>侵害されたRDP資格情報による初期アクセス。”] class init_access technique remote_service[“<b>テクニック</b> – T1021.001 リモートサービス: RDP<br/>RDPの使用。”] class remote_service technique install_rat[“<b>テクニック</b> – T1219 リモートアクセスツール<br/>Chrome Remote DesktopとAnyDeskのインストール。”] class install_rat technique ingress_transfer[“<b>テクニック</b> – T1105 ツール転送<br/>サードパーティツールのダウンロード。”] class ingress_transfer technique collection[“<b>テクニック</b> – T1083 ファイルとディレクトリの探索<br/>Everythingを使用した検索。”] class collection technique archive[“<b>テクニック</b> – T1560.001 アーカイブ作成<br/>7Zipによる圧縮。”] class archive technique obfuscate_compress[“<b>テクニック</b> – T1027.015 難読化/圧縮ファイル<br/>転送前にデータを隠蔽。”] class obfuscate_compress technique transfer_cloud[“<b>テクニック</b> – T1537 クラウド転送<br/>MEGASyncでアップロード。”] class transfer_cloud technique exfil_web[“<b>テクニック</b> – T1567.002 Webサービス経由の流出<br/>クラウドストレージ使用。”] class exfil_web technique encrypt_impact[“<b>テクニック</b> – T1486 データ暗号化<br/>NightSpireがファイルを暗号化。”] class encrypt_impact technique obfuscate_encryption[“<b>テクニック</b> – T1027 難読化<br/>解析を困難にする暗号化。”] class obfuscate_encryption technique %% Nodes – Tools tool_chrome[“<b>ツール</b>: Chrome Remote Desktop<br/>リモートデスクトップ機能。”] class tool_chrome tool tool_anydesk[“<b>ツール</b>: AnyDesk<br/>軽量リモートアクセス。”] class tool_anydesk tool tool_everything[“<b>ツール</b>: Everything<br/>高速ファイル検索ツール。”] class tool_everything tool tool_7zip[“<b>ツール</b>: 7Zip<br/>圧縮ツール。”] class tool_7zip tool tool_megasync[“<b>ツール</b>: MEGASync<br/>クラウド同期。”] class tool_megasync tool tool_vmware[“<b>ツール</b>: VMWare<br/>仮想化ソフト。”] class tool_vmware tool tool_wps[“<b>ツール</b>: WPS Office<br/>オフィススイート。”] class tool_wps tool %% Connections init_access –>|leads_to| remote_service remote_service –>|enables| install_rat install_rat –>|uses| tool_chrome install_rat –>|uses| tool_anydesk install_rat –>|enables| ingress_transfer ingress_transfer –>|downloads| tool_everything ingress_transfer –>|downloads| tool_7zip ingress_transfer –>|downloads| tool_megasync ingress_transfer –>|downloads| tool_vmware ingress_transfer –>|downloads| tool_wps tool_everything –>|used_for| collection collection –>|feeds_into| archive archive –>|uses| tool_7zip archive –>|produces| obfuscate_compress obfuscate_compress –>|uploaded_by| transfer_cloud transfer_cloud –>|uses| tool_megasync transfer_cloud –>|leads_to| exfil_web exfil_web –>|triggers| encrypt_impact encrypt_impact –>|results_in| obfuscate_encryption
攻撃フロー
シミュレーション実行
前提条件: テレメトリ & ベースライン プリフライトチェックをパスしている必要があります。
根拠: このセクションは、検出ルールをトリガーするために設計されたアドバサリー技術(TTP)の正確な実行を詳述します。コマンドと説明は識別されたTTPに直接反映され、検出ロジックによって予期される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診につながります。
-
攻撃のストーリーとコマンド:
模擬攻撃者が初期アクセスを取得し、現在ランサムウェアペイロードを開始しています。このペイロードはターゲットファイルを暗号化し、“.nspire”拡張子で名前を変更し、同じディレクトリにランサムノートをドロップします。攻撃者は、組み込みのPowerShellコマンドレットを使用して追加のバイナリを書き込むことを避け、Living-off-the-landアプローチを模倣します。- ターゲットファイルを選択 (例:ダミーの文書)。
- ファイルを暗号化 シンプルなXORルーチンを使用して(ランサムウェア暗号化の代表例)。
- 暗号化されたファイルの名前を変更 して「.nspire」で終わるようにします。
- ランサムノートを作成 その名前を
_nightspire_readme.txtにして、身代要求の手順を含めます。
-
回帰テストスクリプト: 以下のPowerShellスクリプトは上記の手順を再現し、Sigmaルールが監視する正確なテレメトリを生成します。
# NightSpireランサムウェアシミュレーション – .nspireファイルとランサムノートを生成 param( [string]$TargetFolder = "$env:USERPROFILEDesktopNightSpireDemo" ) # 1. デモフォルダを準備 New-Item -ItemType Directory -Path $TargetFolder -Force | Out-Null # 2. ダミーの被害者ファイルを作成 $victimPath = Join-Path $TargetFolder "victim_document.txt" "This is a sample document that will be 'encrypted'." | Set-Content -Path $victimPath -Encoding UTF8 # 3. シンプルなXOR「暗号化」(デモ目的のみ) $key = 0x5A $bytes = [System.IO.File]::ReadAllBytes($victimPath) for ($i = 0; $i -lt $bytes.Length; $i++) { $bytes[$i] = $bytes[$i] -bxor $key } $encPath = Join-Path $TargetFolder "victim_document.nspire" [System.IO.File]::WriteAllBytes($encPath, $bytes) # 4. 元の平文を削除 Remove-Item -Path $victimPath -Force # 5. ランサムノートをドロップ(ルールが検出する2つの名前のうちの1つ) $notePath = Join-Path $TargetFolder "_nightspire_readme.txt" @" Your files have been encrypted by NightSpire ransomware. To restore your data, send 2 BTC to the address below. "@ | Set-Content -Path $notePath -Encoding UTF8 Write-Host "シミュレーション完了。作成されたファイル:" Write-Host " - $encPath" Write-Host " - $notePath" -
クリーンアップコマンド: すべてのアーティファクトを確認後に削除します。
# NightSpireシミュレーションアーティファクトのクリーンアップ $demoFolder = "$env:USERPROFILEDesktopNightSpireDemo" if (Test-Path $demoFolder) { Remove-Item -Path $demoFolder -Recurse -Force Write-Host "デモフォルダが削除されました。" } else { Write-Host "デモアーティファクトは見つかりませんでした。" }