Manuel Statik Analiz — NightSky Ransomware | Tehdit: KRITIK

Dosya Kimliği

SHA256ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494
Boyut9.768.448 byte (9.7MB)
String Sayisi39.912

İletişim ve Ödeme Adresleri

https://contact.nightsky.cyou    -- NightSky birincil iletişim URL'si
gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
-- Tor .onion ödeme / müzakere portalı

Fidye Notunda YouTube Dark Web Rehberi

İlginç: Fidye notunda kurbanın Tor tarayıcısını nasıl kuracağını açıklamak için YouTube linki veriliyor!
"How to access dark web sites:"
https://www.youtube.com/watch?v=NpXEQHDOA5o
-- YouTube üzerinden dark web erişim rehberi
-- Teknik olmayan kurbanlar için adım adım talimat

PDB Geliştirici Kanıtı

C:\Users\IEUser\Desktop\nightsky.bin
-- "IEUser" = Windows Sandbox/sanal makine varsayılan kullanıcı adı
-- Geliştirici sandbox ortamında derlemiş
-- Dosya adı "nightsky.bin" — açık isim vermiş!

NightSky Hakkında

NightSky, Aralık 2021'de keşfedilen ve Log4Shell (CVE-2021-44228) açığından faydalanan ransomware ailesidir. Çin bağlantılı DEV-0401 tehdit grubuna atfedilmektedir. VMware Horizon sunucularını hedef almış ve ABD, Asya'daki çok sayıda kuruluşu etkilemiştir.

IOC

SHA256ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494
İletişimcontact.nightsky.cyou
Oniongg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
AtıfDEV-0401 / Çin APT (Log4Shell CVE-2021-44228)

NightSkyRansom — Malware Profile

NightSky RaaS Log4Shell CVE-2021-44228. nightsky.cyou+Tor. YouTube rehberi fidye notunda. DEV-0401 Çin APT.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTPS/Tor
Target Systems
Kuresel Kurumsal

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (2 indicators)

IOC — NightSkyRansom
# DOMAIN gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion # DOMAIN youtube.com
TypeValueNote
domain gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
domain youtube.com

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
contact.nightsky.cyou domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
nightskyransomwarenightsky-cyoutor-onionyoutube-ransom-notepdb-nightskychina-apt