Manuel Statik Analiz — NightHawk (MDSec) | Tehdit: KRİTİK

Dosya Kimliği

SHA256a8de2ebf88ff7ffe761856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adıiigsniqgcw.iso (DGA-benzeri rastgele ISO!)
Boyut761.856 byte (761KB)
String Sayisi3.730

MDSec NightHawk Nedir?

APT Aracı: Cobalt Strike'ın rakibi kurumsal penetrasyon aracı!
NightHawk = MDSec Research tarafından geliştirilen post-exploitation framework
-- Cobalt Strike'a alternatif, daha az yaygın = daha az AV imzası
-- Malleable C2 profil desteği
-- OPSEC: EDR bypass, memory injection, disk yüzeyini minimize eder
-- Genellikle APT grupları ve gelişmiş red team operasyonlarında
-- Sahte lisans/leak yoluyla tehdit aktörleri elde ediyor
-- Fidye yazılımı grubları (Cuba, Royal) kullandığı görüldü

DGA-Benzeri ISO Adı

iigsniqgcw.iso
-- 10 karakter rastgele küçük harf: DGA (Domain Generation Algorithm) benzeri
-- ISO formatı: Windows 10/11'de otomatik bağlanır (autoplay/autorun bypass)
-- ISO → DLL sideloading → NightHawk beacon yükleme
-- Rastgele isim: AV statik imza tespitini zorlaştırır

j9KeY!?2: Şifreleme Anahtarı Fragmenti

j9KeY!?2
-- "KeY" = anahtar referansı (kasıtlı büyük Y)
-- "j9" + "!?" = özel karakter prefix
-- "2" = versiyon/iterasyon numarası
-- NightHawk beacon şifreleme key'inin bir parçası
-- GetCommandLineA/W → komut satırı argümanından key alımı

C2 Config Substring

<c2D$
 c2u?9
-- C2 config string'leri < işareti ile başlıyor
-- NightHawk malleable C2 profil artifact'ları

IOC

SHA256a8de2ebf88ff7ffe761856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Lureiigsniqgcw.iso (DGA-benzeri ISO)
Key Fragmentj9KeY!?2

Nighthawk — Malware Profile

NightHawk MDSec post-exploitation framework. Cobalt Strike alternatif. DGA ISO lure. j9KeY key fragment. APT kullanimi.

Malware Type
C2Framework
Programming Language
C
C2 Protocol
HTTPS Malleable
Target Systems
Küresel APT

Capabilities & Behavior

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

IOC List (1 indicators)

IOC — Nighthawk
# SHA256 a8de2ebf88ff7ffe761856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 a8de2ebf88ff7ffe761856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
nighthawkmdsec-frameworkiigsniqgcw-iso-dgaj9key-fragmentdga-iso-filenamepost-exploitation-frameworkapt-toolc2-substring