自 2025 年 2 月出现以来,NightSpire 勒索软件团伙凭借结合 “定向加密” 与 “公开数据泄露” 的复杂双重勒索策略,迅速崭露头角。
该团伙最初在韩国出现,通过利用企业网络中的漏洞获取初始访问权限,其常用手段包括攻击过时的 VPN 设备以及未打补丁的远程桌面协议(RDP)服务。
一旦入侵系统,NightSpire 会部署定制化的恶意有效载荷,扫描相连的文件共享服务器和数据库,并优先针对高价值资产发起攻击,以实现最大攻击影响。
该团伙在其专属泄露网站(Dedicated Leak Site)上印有标志性 logo,这一细节凸显了其在网络勒索活动中专业化的运作模式。
在首次公开活动后的几周内,NightSpire 便对北美、亚洲和欧洲多地的企业发起攻击,受影响行业包括美国的零售批发业、日本的化工制造业以及泰国的海运物流业。
据受害者反馈,受感染文件的扩展名被修改为 “.nspire”,且每个受攻陷的目录中都会出现一个名为 “readme.txt” 的勒索通知文件。
ASEC(安全研究机构)的分析师指出,这些勒索通知采用极具威胁性的措辞,并包含数据发布倒计时,通过这种方式加大对受害者的压力,迫使他们在敏感信息被公开前进行谈判。
随着 NightSpire 影响范围的扩大,安全研究人员开始深入剖析其底层基础设施。
分析发现,该勒索软件的二进制文件采用模块化架构,可根据文件类型在 “块加密” 和 “全文件加密” 两种模式间切换。
ASEC 研究人员通过逆向工程发现,对于虚拟磁盘镜像(.vhdx、.vmdk)和压缩包(.zip)等大型文件,勒索软件会采用 AES-CBC 块加密算法,以 1MB 为单位分块处理;而对于文档及其他小型文件,则会使用相同的加密算法对文件进行完整加密。
NightSpire 会将 AES 密钥插入每个加密文件的末尾,随后用 RSA 算法对该密钥进行加密并附加到文件尾部 —— 这种设计使得受害者在不支付赎金的情况下,无论是通过自动化工具还是人工方式,几乎都无法恢复文件。
NightSpire 的感染机制依赖于一个多阶段加载器,该加载器首先会禁用 Windows Defender(Windows 防御者)并删除卷影副本(用于系统恢复的备份文件),以阻止受害者轻易恢复数据。
加载器通过调用_Stat()函数查询操作系统,枚举可访问的文件和目录,并过滤掉系统关键路径,避免破坏主机系统稳定性。
构建完文件系统映射后,加密决策逻辑可通过以下伪代码概括:
if (文件扩展名属于 {".iso", ".vhdx", ".vmdk", ".zip", ".vib", ".bak", ".mdf", ".flt", ".ldf"}) {
main_EncryptFilev2(文件路径, aes密钥, rsa公钥, 分块大小 = 1MB); // 块加密模式
} else {
main_EncryptFilev1(文件路径, aes密钥, rsa公钥); // 全文件加密模式
}
对每个目标文件完成加密后,加载器会在同一文件夹中写入 “readme.txt” 勒索通知,随后通过加密的 Telegram(电报)频道向该团伙的命令与控制(C2)服务器发送 “攻击成功” 的反馈信息。
在此阶段,勒索软件还会对桌面进行截图,并将截图与关键文档一同窃取 —— 这一操作进一步增强了团伙对受害者的威慑力。最终,这种快速且隐蔽的入侵方式,往往让传统检测机制陷入被动应对的局面。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
