Manuel Statik Analiz — NightSky Ransomware | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494 |
|---|---|
| Boyut | 9.768.448 byte (9.7MB) |
| String Sayisi | 39.912 |
İletişim ve Ödeme Adresleri
https://contact.nightsky.cyou -- NightSky birincil iletişim URL'si gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion -- Tor .onion ödeme / müzakere portalı
Fidye Notunda YouTube Dark Web Rehberi
İlginç: Fidye notunda kurbanın Tor tarayıcısını nasıl kuracağını açıklamak için YouTube linki veriliyor!
"How to access dark web sites:" https://www.youtube.com/watch?v=NpXEQHDOA5o -- YouTube üzerinden dark web erişim rehberi -- Teknik olmayan kurbanlar için adım adım talimat
PDB Geliştirici Kanıtı
C:\Users\IEUser\Desktop\nightsky.bin -- "IEUser" = Windows Sandbox/sanal makine varsayılan kullanıcı adı -- Geliştirici sandbox ortamında derlemiş -- Dosya adı "nightsky.bin" — açık isim vermiş!
NightSky Hakkında
NightSky, Aralık 2021'de keşfedilen ve Log4Shell (CVE-2021-44228) açığından faydalanan ransomware ailesidir. Çin bağlantılı DEV-0401 tehdit grubuna atfedilmektedir. VMware Horizon sunucularını hedef almış ve ABD, Asya'daki çok sayıda kuruluşu etkilemiştir.
IOC
| SHA256 | ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494 |
|---|---|
| İletişim | contact.nightsky.cyou |
| Onion | gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion |
| Atıf | DEV-0401 / Çin APT (Log4Shell CVE-2021-44228) |
NightSkyRansom — Malware Profile
NightSky RaaS Log4Shell CVE-2021-44228. nightsky.cyou+Tor. YouTube rehberi fidye notunda. DEV-0401 Çin APT.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTPS/Tor
Target Systems
Kuresel Kurumsal
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (2 indicators)
IOC — NightSkyRansom
# DOMAIN
gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
# DOMAIN
youtube.com
| Type | Value | Note |
|---|---|---|
| domain | gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion | |
| domain | youtube.com |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| contact.nightsky.cyou | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.