SOC Prime Bias: 높음

09 4월 2026 18:09

Huntress

나이트스파이어 랜섬웨어의 진화: 최신 기술과 탐지 팁

SOC Prime Team

팔로우

Detection stack

AIDR
Alert
ETL
Query

위협 보고서
공격 흐름
탐지
시뮬레이션

개요

NightSpire는 아래에서 운영되는 것으로 보이는 랜섬웨어 계열입니다. Ransomware-as-a-Service 스타일 전달 모델. 운영자는 내장된 Living-off-the-land 바이너리에 크게 의존하는 대신, 지속성, 데이터 준비, 데이터 유출을 위한 제3자 유틸리티 를 자주 가져와 직접 운영 활동을 나타냅니다. 사건은 2025년 초에서 2026년 3월까지 관찰되었고, 일반적으로 공격자가 도구를 수동 배포하는 것이 특징입니다. 일반적인 지표에는 맞춤형 암호화 바이너리, .nspire 로 끝나는 암호화된 데이터 파일 확장자 및 일관된 명명 패턴을 따르는 랜섬 노트가 포함됩니다.

조사

Huntress 조사관들은 RDP을 통해 공격자 접근이 허용된 후 Chrome 원격 데스크톱 이 설치되어 상호작용 제어를 유지한다고 보고했습니다. 침입자들은 그런 다음에 Everything, 7-Zip, MEGASync 을 사용하여 유용한 데이터를 식별하고, 그것을 패키징하여 준비하고 유출합니다. 이후 단계에서는 추가 소프트웨어인 VMware Workstation and WPS Office 가 호스트에 도입되었습니다. 지속성 흔적은 여러 엔드포인트에서 식별됐고, NightSpire 인코더 (enc.exe)는 서로 다른 사건에서 다른 SHA-256 값과 함께 나타나며, 작업별 빌드 또는 재패키징을 시사합니다.

감소

권한 없는 원격 접근 툴링을 모니터링하고(특히 새로운 RDP 인접 유틸리티 및 Chrome 원격 데스크톱), 서드파티 압축기나 동기화 클라이언트의 이상한 설치, 그리고 끝이 .nspire으로 끝나는 파일의 생성을 모니터링합니다. 미지의 바이너리 실행을 차단하고, 원격 접근에 대한 최소-권한 제어를 강화하여 노출을 줄이세요. 정기적인 백업을 유지하고, 파괴적인 변조를 방지하기 위한 볼륨 섀도 복사본 보호가 제대로 구현되어 있는지 확인합니다.

대응

NightSpire 활동이 의심될 경우, 영향을 받은 시스템을 격리하고, 설치된 유틸리티 및 랜섬웨어 페이로드의 포렌식 증거를 보존하며, 활성 원격 데스크톱 세션을 종료합니다. 확인된 깨끗한 백업에서 복원하고, 암호화기가 완전히 제거되었는지 확인합니다. 동일한 도구 세트와 관련된 아티팩트를 전체 기업 범위에서 탐색한 후, 반복적인 패턴과 연관된 운영자 행동을 잡아내기 위해 탐지 콘텐츠를 업데이트합니다.

graph TB %% Class definitions classDef technique fill:#99ccff classDef tool fill:#ffcc99 %% Nodes – Techniques init_access[“기술 – T1078 유효한 계정 탈취된 RDP 자격 증명을 통한 초기 접근.”] class init_access technique remote_service[“기술 – T1021.001 원격 서비스: RDP RDP 사용.”] class remote_service technique install_rat[“기술 – T1219 원격 액세스 도구 Chrome Remote Desktop 및 AnyDesk 설치.”] class install_rat technique ingress_transfer[“기술 – T1105 도구 전송 서드파티 도구 다운로드.”] class ingress_transfer technique collection[“기술 – T1083 파일 및 디렉터리 탐색 Everything 사용.”] class collection technique archive[“기술 – T1560.001 아카이브 생성 7Zip으로 압축.”] class archive technique obfuscate_compress[“기술 – T1027.015 난독화/압축 파일 데이터 숨김.”] class obfuscate_compress technique transfer_cloud[“기술 – T1537 클라우드 전송 MEGASync 업로드.”] class transfer_cloud technique exfil_web[“기술 – T1567.002 웹 서비스 유출 클라우드 저장소 사용.”] class exfil_web technique encrypt_impact[“기술 – T1486 데이터 암호화 NightSpire 암호화 수행.”] class encrypt_impact technique obfuscate_encryption[“기술 – T1027 난독화 분석 방해를 위한 암호화.”] class obfuscate_encryption technique %% Nodes – Tools tool_chrome[“도구: Chrome Remote Desktop 원격 데스크톱 기능.”] class tool_chrome tool tool_anydesk[“도구: AnyDesk 경량 원격 접속.”] class tool_anydesk tool tool_everything[“도구: Everything 빠른 파일 검색.”] class tool_everything tool tool_7zip[“도구: 7Zip 압축 도구.”] class tool_7zip tool tool_megasync[“도구: MEGASync 클라우드 동기화.”] class tool_megasync tool tool_vmware[“도구: VMWare 가상화 소프트웨어.”] class tool_vmware tool tool_wps[“도구: WPS Office 오피스 제품군.”] class tool_wps tool %% Connections init_access –>|leads_to| remote_service remote_service –>|enables| install_rat install_rat –>|uses| tool_chrome install_rat –>|uses| tool_anydesk install_rat –>|enables| ingress_transfer ingress_transfer –>|downloads| tool_everything ingress_transfer –>|downloads| tool_7zip ingress_transfer –>|downloads| tool_megasync ingress_transfer –>|downloads| tool_vmware ingress_transfer –>|downloads| tool_wps tool_everything –>|used_for| collection collection –>|feeds_into| archive archive –>|uses| tool_7zip archive –>|produces| obfuscate_compress obfuscate_compress –>|uploaded_by| transfer_cloud transfer_cloud –>|uses| tool_megasync transfer_cloud –>|leads_to| exfil_web exfil_web –>|triggers| encrypt_impact encrypt_impact –>|results_in| obfuscate_encryption

공격 흐름

탐지

대체 원격 액세스 / 관리 소프트웨어 (프로세스 생성)

SOC 프라임 팀

2026년 4월 8일

보기

대체 원격 액세스 / 관리 소프트웨어 (시스템)

SOC 프라임 팀

2026년 4월 8일

보기

대체 원격 액세스 / 관리 소프트웨어 (감사)

SOC 프라임 팀

2026년 4월 8일

보기

나다냥스 야만스파이어 랜섬웨어 탐지를 위한 IOCs (HashSha256)

SOC 프라임 AI 규칙

2026년 4월 8일

보기

NightSpire 랜섬웨어 파일 확장자 및 랜섬 노트 탐지 [Windows 파일 이벤트]

SOC 프라임 AI 규칙

2026년 4월 8일

보기

시뮬레이션 실행

전제 조건: Telemetry & Baseline Pre-flight Check가 통과해야 합니다.

합리적 이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적 대기술 (TTP)의 정확한 실행을 설명합니다. 명령 및 서술은 반드시 식별된 TTP를 직접 반영하여 탐지 논리가 예상하는 정확한 원본을 생성해야 합니다. 추상적이거나 무관한 예는 오진을 초래할 수 있습니다.

공격 이야기 및 명령:
모의 공격자가 초기 접근을 얻고, 이제 랜섬웨어 페이로드를 시작합니다. 페이로드는 대상 파일을 암호화하고 파일명을 “.nspire” 확장자로 변경하며, 동일한 디렉토리에 랜섬 노트를 남깁니다. 공격자는 추가 바이너리 작성을 피하기 위해 내부 PowerShell 명령어를 사용하여 Living-off-the-land 접근 방식을 모방합니다.
1. 대상 파일 선택 (예: 가상 문서).
2. 파일 암호화 간단한 XOR 절차를 사용 (랜섬웨어 암호화를 대표).
3. 암호화된 파일 이름 변경 그 이름이 “.nspire”로 끝나도록.
4. 랜섬 노트 작성 이름 _nightspire_readme.txt 랜섬 지침 포함.

회귀 테스트 스크립트: 다음 PowerShell 스크립트는 위의 스탭을 재현하여 Sigma 규칙이 감시하는 정확한 원본을 생성합니다.

# NightSpire 랜섬웨어 시뮬레이션 – .nspire 파일 및 랜섬 노트를 생성
param(
    [string]$TargetFolder = "$env:USERPROFILEDesktopNightSpireDemo"
)

# 1. 데모 폴더 준비
New-Item -ItemType Directory -Path $TargetFolder -Force | Out-Null

# 2. 더미 피해 문서 생성
$victimPath = Join-Path $TargetFolder "victim_document.txt"
"This is a sample document that will be 'encrypted'." | Set-Content -Path $victimPath -Encoding UTF8

# 3. 간단한 XOR "암호화" (데모 목적으로만)
$key = 0x5A
$bytes = [System.IO.File]::ReadAllBytes($victimPath)
for ($i = 0; $i -lt $bytes.Length; $i++) {
    $bytes[$i] = $bytes[$i] -bxor $key
}
$encPath = Join-Path $TargetFolder "victim_document.nspire"
[System.IO.File]::WriteAllBytes($encPath, $bytes)

# 4. 원래의 평문 제거
Remove-Item -Path $victimPath -Force

# 5. 랜섬 노트 투하 (규칙이 탐지하는 두 이름 중 하나)
$notePath = Join-Path $TargetFolder "_nightspire_readme.txt"
@"
Your files have been encrypted by NightSpire ransomware.
To restore your data, send 2 BTC to the address below.
"@ | Set-Content -Path $notePath -Encoding UTF8

Write-Host "시뮬레이션 완료. 생성된 파일:"
Write-Host " - $encPath"
Write-Host " - $notePath"

정리 명령: 검증 후 모든 아티팩트 제거.

# NightSpire 시뮬레이션 아티팩트 정리
$demoFolder = "$env:USERPROFILEDesktopNightSpireDemo"
if (Test-Path $demoFolder) {
    Remove-Item -Path $demoFolder -Recurse -Force
    Write-Host "데모 폴더 제거됨."
} else {
    Write-Host "데모 아티팩트를 찾을 수 없음."
}

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입