Manuel Statik Analiz — NightSky Ransomware | Tehdit: KRITIK

Datei Kimliği

SHA256ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494
Größe9.768.448 byte (9.7MB)
String Sayisi39.912

İletişim ve Ödeme Adresleri

https://contact.nightsky.cyou    -- NightSky birincil iletişim URL'si
gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
-- Tor .onion ödeme / müzakere portalı

Fidye Notunda YouTube Dark Web Rehberi

İlginç: Fidye notunda kurbanın Tor tarayıcısını nasıl kuracağını açıklamak için YouTube linki veriliyor!
"How to access dark web sites:"
https://www.youtube.com/watch?v=NpXEQHDOA5o
-- YouTube üzerinden dark web erişim rehberi
-- Teknik olmayan kurbanlar için adım adım talimat

PDB Geliştirici Kanıtı

C:\Users\IEUser\Desktop\nightsky.bin
-- "IEUser" = Windows Sandbox/sanal makine varsayılan kullanıcı adı
-- Geliştirici sandbox ortamında derlemiş
-- Dosya adı "nightsky.bin" — açık isim vermiş!

NightSky Hakkında

NightSky, Aralık 2021'de keşfedilen ve Log4Shell (CVE-2021-44228) açığından faydalanan ransomware ailesidir. Çin bağlantılı DEV-0401 tehdit grubuna atfedilmektedir. VMware Horizon sunucularını hedef almış ve ABD, Asya'daki çok sayıda kuruluşu etkilemiştir.

IOC

SHA256ff5757086c464d624f4a6674d65409fb6fa84ad5ac0895xx3ebc994ba9494
İletişimcontact.nightsky.cyou
Oniongg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
AtıfDEV-0401 / Çin APT (Log4Shell CVE-2021-44228)

NightSkyRansom — Malware-Profil

NightSky RaaS Log4Shell CVE-2021-44228. nightsky.cyou+Tor. YouTube rehberi fidye notunda. DEV-0401 Çin APT.

Malware-Typ
Ransomware
Programmiersprache
C++
C2-Protokoll
HTTPS/Tor
Zielsysteme
Kuresel Kurumsal

Fähigkeiten & Verhalten

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC-Liste (2 Indikatoren)

IOC — NightSkyRansom
# DOMAIN gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion # DOMAIN youtube.com
TypWertBemerkung
domain gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion
domain youtube.com

C2-Server (1 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
contact.nightsky.cyou domain 443 HTTPS inactive —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
nightskyransomwarenightsky-cyoutor-onionyoutube-ransom-notepdb-nightskychina-apt