NightSpire 勒索軟體團夥現身 ,成為網路犯罪新威脅,台灣企業亦遭攻擊!

Posted on by blogadmin

概述

NightSpire 是一個以財務利益為動機的網路威脅組織,針對多個產業的企業進行攻擊。該組織最初專注於竊取敏感數據並進行勒索或轉售,然而近期的活動顯示,他們已轉向雙重勒索模式,結合數據竊取與勒索軟體加密來最大化對受害者的壓力。這種轉變顯示出該組織的適應能力與不斷成熟的運營策略。

商業模式演變

NightSpire 最近的攻擊顯示,其策略已從純粹的數據勒索轉變為結合勒索軟體加密的混合模式。目前尚不清楚該組織是以封閉模式運營,還是採取勒索軟體即服務(RaaS)的模式,允許成員加盟攻擊並共享利潤。

根據暗網活動的證據,NightSpire 可能正試圖擴展規模。2025 年 3 月 14 日,一名代號為「xdragon128」的威脅行為者在 BreachForum 上發佈招聘訊息,尋找談判專家,並提供 20% 的利潤分成。這可能表明該組織正在強化其勒索談判策略。然而,目前尚無證據顯示 NightSpire 正在尋找新的加盟者來執行攻擊,如典型的 RaaS 模式那樣。

該組織運營著一個暗網洩露網站,於 2025 年 3 月 12 首次被發現。他們利用該網站公開受害者資訊,並威脅完全洩露數據,以強迫受害者支付贖金。

目標選擇(受害者分析)

自 2025 年 3 月以來,NightSpire 已聲稱對至少 11 家企業發動攻擊。其中,36% 的攻擊針對製造業。然而,其攻擊模式顯示,目標選擇具有一定的隨機性,並非專注於特定產業。

值得關注的是,受害企業中有 73% 為中小型企業(SME),即員工人數少於 1,000 人。這可能與中小企業普遍較為薄弱的網路安全防禦有關,使其成為較易受攻擊的目標。此外,根據暗網洩露的數據,已有兩家台灣企業遭受 NightSpire 攻擊並被列入其名單。

攻擊戰術、技術與程序(TTPs

初始入侵

NightSpire 主要利用外部邊界設備的漏洞進行攻擊,例如 防火牆虛擬私人網路(VPN。該組織曾利用 CVE-2024-55591,這是一個 FortiOS 的零日漏洞,允許未授權攻擊者獲取 Fortigate 防火牆設備的超級管理員權限,無需提供合法憑據。攻擊者利用此漏洞後,可以更改設備配置,建立持久訪問,並進一步橫向移動至受害者內部網路。

數據竊取

NightSpire 在攻擊中使用合法的檔案傳輸工具,例如 WinSCPMEGACmd,以進行數據外傳。這些工具可幫助攻擊者隱藏惡意活動,讓數據流量看起來與正常業務操作無異,從而規避檢測。

規避防禦

該組織運用 外部工具「本地二進位執行技術(LOLBins)」,即利用受害者系統內原生工具進行惡意操作。例如:

  • 網路掃描器 用於偵察內部環境。
  • 內建 FTP 客戶端 用於數據外傳。
  • PowerShell 腳本 執行攻擊指令,避免觸發傳統安全防禦機制。

勒索策略與贖金要求

NightSpire 採取高度侵略性的勒索策略,包括:

  • 勒索網站施壓:迅速將受害者資訊公佈在其暗網洩露網站上。
  • 極短的付款期限:受害者收到勒索信後,可能僅有 兩天 內付款。
  • 針對性騷擾:該組織曾直接向受害企業員工發送勒索郵件,施加額外壓力。
  • 公開羞辱不付款者:其網站上的 We Say 版塊列出了未支付贖金的受害者,並發布受害企業名稱、數據洩露公告,甚至提供免費下載連結。

然而,NightSpire 在數據洩露策略上的不一致性,表明該組織缺乏標準化的運營模式,仍處於發展階段。

網路安全專家觀點與應對策略

1. 應對不可預測的攻擊者

NightSpire 的行為模式符合典型的新興勒索軟體組織——策略多變、運營不成熟、攻擊方式不可預測。與高度專業化的勒索組織相比,他們可能不按照傳統模式行動,使事件應對變得更加複雜。因此,資安團隊需要保持靈活性,結合傳統勒索談判策略與應對不規則行為的方案。

2. 強化威脅情報應用

威脅情報(Threat Intelligence, TI)在以下方面發揮關鍵作用:

  • 識別攻擊指標(IOCs,提前發現潛在攻擊。
  • 分析攻擊者策略,提高檢測與防禦能力。
  • 加速事件應對,有效縮短調查與復原時間。

企業應將情報驅動的 IOCs 整合至 安全資訊與事件管理(SIEM端點偵測與回應(EDR 工具中,以主動攔截與抑制 威脅。

3. 從歷史案例汲取經驗

雖然 NightSpire 尚處於成長階段,但過去勒索軟體攻擊經驗可提供寶貴的應對指導:

  • 定期備份:維護 離線與不可變更備份,確保數據可恢復。
  • 漏洞管理:CVE-2024-55591 的被利用再次證明即時漏洞修補的重要性
  • 強化端點防護:採用 行為式偵測技術,防範 LOLBins 技巧與橫向移動攻擊。

結論

NightSpire 是一個快速演變的勒索軟體威脅,其技術能力與勒索策略日趨成熟。企業應採取 多層次防禦策略,包括 持續監控、完善事件應對計劃、威脅情報導向的防禦措施,以有效降低攻擊風險並提升整體資安韌性。

NightSpire 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

35cefe4bc4a98ad73dda4444c700aac9
f749efde8f9de6a643a57a5b605bd4e7