2025년 새로 등장한 NightSpire 랜섬웨어

올해 초에 등장한 NightSpire 랜섬웨어가 제조, 금융 및 의료 기관 등의 다양한 산업군을 대상으로 한 공격에 사용돼 짧은 기간 동안 많은 피해를 입히고 있어 보안업계에서 주목을 받고 있다. 이전에 공개된 공격 사례를 보면 NightSpire 조직은 피싱 이메일이나 웹 방화벽 및 VPN 장비 등 외부로 노출된 시스템의 취약점을 이용해 접근했다. 악용된 취약점은 CVE-2024-55591로 Fortinet사의 방화벽과 VPN 장비에서 웹 소켓 모듈이 수신한 요청 값을 제대로 처리하지 않아 발생하는 권한 상승 취약점이다. 공격 대상 내부로 진입한 이후에는 LOLBin(Living-Off-the-Land Binaries) 기법으로 Powershell과 PsExec 등의 도구를 사용해 내부 네트워크를 탐색하고 Mimikatz와 WinSCP 및 MEGACmd 등의 도구로 정보를 수집해 탈취한다.

 

NightSpire 조직은 공격 대상에게서 데이터를 탈취한 뒤 기한 내에 연락이 없으면 자신들이 운영하는 데이터 유출 사이트에 게시해 금전적인 협상을 요구한다. 데이터 유출 사이트에는 자신들의 조직 설명과 공격한 대상 및 유출 데이터 목록이 있으며 Onion 메일 주소와 텔레그램 및 Tox 메신저 ID 등을 표시해 자신들에게 연락할 방법을 설명한다. 아래 [그림 1]은 유출 목록 페이지이며 공격 대상의 국가, 이름, 공격 및 데이터 공개 일자를 표시하고 공개 시기를 초 단위로 세며 피해 업체에 경고하고 있다. 해당 페이지 내의 목록 중에서는 국내 기업 2곳이 공격받아 데이터가 유출된 정황이 발견됐다.

 

[그림 1] NightSpire 데이터 유출 목록

 

NightSpire 랜섬웨어를 실행하면 아래 [그림 2]와 같이 암호화할 대상을 탐색하는 경로와 파일을 콘솔창에 출력한다. 이후 각 경로마다 랜섬노트를 생성하며 파일 복구를 빌미로 공격자의 메일로 연락하거나 웹사이트로 접속을 요구한다.

 

[그림 2] 암호화 대상 탐색 및 암호화 결과

 

[그림 3] NightSpire 랜섬노트

 

파일 유형별 암호화 방식

NightSpire 랜섬웨어는 실행 옵션을 지정해 실행할 수 있다. -p 옵션을 사용하면 경로 지정이 가능해 설정한 경로를 암호화한다. -m 옵션은 확장자를 유지하거나 변경하는 옵션이며 기본값은 0으로 확장자를 “.nspire”로 변경한다.

 

[그림 4] NightSpire 랜섬웨어 실행 옵션 지정

 

암호화 경로를 지정하지 않고 실행하면 ‘C:\Users’ 하위 경로를 암호화하고 A부터 Z까지 할당된 드라이브 문자를 탐색하며 활성화된 드라이브 내의 파일을 암호화한다. 암호화하는 과정에서는 ‘Windows’, ‘Program Files’ 및 휴지통 등의 폴더와 “readme.txt” 이름의 랜섬노트 등을 제외한 파일을 암호화한다.

 

[그림 5] 암호화 함수 분기문

 

 

파일을 암호화할 때는 AES-256-CTR과 RSA-4096 알고리즘을 사용해 암호화하고 파일 확장자를 읽어 종류에 따라 전체 암호화 또는 부분 암호화를 진행하며 시스템 파일이나 이미 암호화된 파일이면 제외한다. 암호화할 파일이 디스크 이미지, 가상 하드디스크 및 가상 머신 등의 파일이면 전체 암호화를 진행하는 함수(EncryptFilev2)로 암호화한 뒤 파일 끝에 Base64 인코딩된 데이터를 추가한다. 이외의 파일을 대상으로는 파일의 1MB만 암호화하는 함수(EncryptFilev1)로 암호화한 뒤 파일 끝에 Base64 인코딩된 데이터를 추가한다.

 

[그림 6]에서 진행하는 암호화 방식에 따라 파일 끝에 추가되는 Base64 인코딩 데이터의 크기와 구성 내용이 달라진다. 부분 암호화 방식에서는 파일 내의 랜덤한 위치에서 일정 크기의 데이터를 읽고 그 뒤에 파일 확장자와 그 길이 정보를 추가한다. 그리고 이를 두 데이터로 나눠 각각 RSA-4096으로 암호화한 뒤 다시 하나로 합쳐 Base64 인코딩한다. 전체 암호화 방식에서는 파일 암호화에 사용된 Key 값, 일회용으로 생성된 Nonce 값, 파일 확장자 및 길이 정보를 합쳐 RSA-4096으로 암호화한 뒤 Base64로 인코딩해 파일 끝에 추가한다. 추가된 Base64 데이터 앞, 뒤에 특수문자로 구성된 랜덤한 6자리의 문자열을 붙여 암호화된 파일 데이터와 구분한다.
- 전체 암호화 대상 확장자 : iso, vhdx, vmdk, zip, vib, bak, mdf, tlf, ldf
- 암호화 제외 대상 확장자 : sys, dll, nspire

 

[그림 6] 파일 암호화 분류

 

NightSpire 랜섬웨어는 올해 초에 등장해 짧은 기간 내에 다양한 산업계의 업체를 공격하며 많은 피해를 입히고 있어 주의가 필요하다. 따라서 출처가 불분명한 파일의 다운로드 및 실행을 지양하고 주기적으로 파일을 백업하며 운용중인 서버 및 시스템을 항상 최신 버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Internet Security 6.0 진단 및 치료 화면