Manuel Statik Analiz — NightSky Ransomware | Tehdit: KRITIK
파일 Kimliği
| SHA256 | ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494 |
|---|---|
| 크기 | 9.768.448 byte (9.7MB) |
| String Sayisi | 39.912 |
İletişim ve Ödeme Adresleri
https://contact.nightsky.cyou -- NightSky birincil iletişim URL'si gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion -- Tor .onion ödeme / müzakere portalı
Fidye Notunda YouTube Dark Web Rehberi
İlginç: Fidye notunda kurbanın Tor tarayıcısını nasıl kuracağını açıklamak için YouTube linki veriliyor!
"How to access dark web sites:" https://www.youtube.com/watch?v=NpXEQHDOA5o -- YouTube üzerinden dark web erişim rehberi -- Teknik olmayan kurbanlar için adım adım talimat
PDB Geliştirici Kanıtı
C:\Users\IEUser\Desktop\nightsky.bin -- "IEUser" = Windows Sandbox/sanal makine varsayılan kullanıcı adı -- Geliştirici sandbox ortamında derlemiş -- Dosya adı "nightsky.bin" — açık isim vermiş!
NightSky Hakkında
NightSky, Aralık 2021'de keşfedilen ve Log4Shell (CVE-2021-44228) açığından faydalanan ransomware ailesidir. Çin bağlantılı DEV-0401 tehdit grubuna atfedilmektedir. VMware Horizon sunucularını hedef almış ve ABD, Asya'daki çok sayıda kuruluşu etkilemiştir.
IOC
| SHA256 | ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494 |
|---|---|
| İletişim | contact.nightsky.cyou |
| Onion | gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion |
| Atıf | DEV-0401 / Çin APT (Log4Shell CVE-2021-44228) |
NightSkyRansom — 악성코드 프로필
NightSky RaaS Log4Shell CVE-2021-44228. nightsky.cyou+Tor. YouTube rehberi fidye notunda. DEV-0401 Çin APT.
악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
HTTPS/Tor
대상 시스템
Kuresel Kurumsal
기능 및 동작
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC 목록 (2 개 지표)
IOC — NightSkyRansom
# DOMAIN
gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
# DOMAIN
youtube.com
| 유형 | 값 | 메모 |
|---|---|---|
| domain | gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion | |
| domain | youtube.com |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| contact.nightsky.cyou | domain | 443 | HTTPS | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.