Manuel Statik Analiz — NightSky Ransomware | Tehdit: KRITIK

파일 Kimliği

SHA256ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494
크기9.768.448 byte (9.7MB)
String Sayisi39.912

İletişim ve Ödeme Adresleri

https://contact.nightsky.cyou    -- NightSky birincil iletişim URL'si
gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
-- Tor .onion ödeme / müzakere portalı

Fidye Notunda YouTube Dark Web Rehberi

İlginç: Fidye notunda kurbanın Tor tarayıcısını nasıl kuracağını açıklamak için YouTube linki veriliyor!
"How to access dark web sites:"
https://www.youtube.com/watch?v=NpXEQHDOA5o
-- YouTube üzerinden dark web erişim rehberi
-- Teknik olmayan kurbanlar için adım adım talimat

PDB Geliştirici Kanıtı

C:\Users\IEUser\Desktop\nightsky.bin
-- "IEUser" = Windows Sandbox/sanal makine varsayılan kullanıcı adı
-- Geliştirici sandbox ortamında derlemiş
-- Dosya adı "nightsky.bin" — açık isim vermiş!

NightSky Hakkında

NightSky, Aralık 2021'de keşfedilen ve Log4Shell (CVE-2021-44228) açığından faydalanan ransomware ailesidir. Çin bağlantılı DEV-0401 tehdit grubuna atfedilmektedir. VMware Horizon sunucularını hedef almış ve ABD, Asya'daki çok sayıda kuruluşu etkilemiştir.

IOC

SHA256ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494
İletişimcontact.nightsky.cyou
Oniongg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
AtıfDEV-0401 / Çin APT (Log4Shell CVE-2021-44228)

NightSkyRansom — 악성코드 프로필

NightSky RaaS Log4Shell CVE-2021-44228. nightsky.cyou+Tor. YouTube rehberi fidye notunda. DEV-0401 Çin APT.

악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
HTTPS/Tor
대상 시스템
Kuresel Kurumsal

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (2 개 지표)

IOC — NightSkyRansom
# DOMAIN gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion # DOMAIN youtube.com
유형메모
domain gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
domain youtube.com

C2 서버 (이 패밀리에 대해 1개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
contact.nightsky.cyou domain 443 HTTPS inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
nightskyransomwarenightsky-cyoutor-onionyoutube-ransom-notepdb-nightskychina-apt