Manuel Statik Analiz — NightSky Ransomware | Tehdit: KRITIK

Dosya Kimliği

SHA256ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494
Boyut9.768.448 byte (9.7MB)
String Sayisi39.912

İletişim ve Ödeme Adresleri

https://contact.nightsky.cyou    -- NightSky birincil iletişim URL'si
gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
-- Tor .onion ödeme / müzakere portalı

Fidye Notunda YouTube Dark Web Rehberi

İlginç: Fidye notunda kurbanın Tor tarayıcısını nasıl kuracağını açıklamak için YouTube linki veriliyor!
"How to access dark web sites:"
https://www.youtube.com/watch?v=NpXEQHDOA5o
-- YouTube üzerinden dark web erişim rehberi
-- Teknik olmayan kurbanlar için adım adım talimat

PDB Geliştirici Kanıtı

C:\Users\IEUser\Desktop\nightsky.bin
-- "IEUser" = Windows Sandbox/sanal makine varsayılan kullanıcı adı
-- Geliştirici sandbox ortamında derlemiş
-- Dosya adı "nightsky.bin" — açık isim vermiş!

NightSky Hakkında

NightSky, Aralık 2021'de keşfedilen ve Log4Shell (CVE-2021-44228) açığından faydalanan ransomware ailesidir. Çin bağlantılı DEV-0401 tehdit grubuna atfedilmektedir. VMware Horizon sunucularını hedef almış ve ABD, Asya'daki çok sayıda kuruluşu etkilemiştir.

IOC

SHA256ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494
İletişimcontact.nightsky.cyou
Oniongg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
AtıfDEV-0401 / Çin APT (Log4Shell CVE-2021-44228)

NightSkyRansom — Malware Profili

NightSky RaaS Log4Shell CVE-2021-44228. nightsky.cyou+Tor. YouTube rehberi fidye notunda. DEV-0401 Çin APT.

Malware Tipi
Ransomware
Programlama Dili
C++
C2 Protokolü
HTTPS/Tor
Hedef Sistemler
Kuresel Kurumsal

Yetenekler ve Davranış

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC Listesi (2 gösterge)

IOC — NightSkyRansom
# DOMAIN gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion # DOMAIN youtube.com
TürDeğerNot
domain gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
domain youtube.com

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
contact.nightsky.cyou domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
nightskyransomwarenightsky-cyoutor-onionyoutube-ransom-notepdb-nightskychina-apt