Manuel Statik Analiz — WhisperGate Wiper | Tehdit: KRITIK
Fichier Kimliği
| SHA256 | 85d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4 |
|---|---|
| Taille | 544.256 byte |
| String Sayisi | 2.488 |
.NET Namespace Tersine Çevirme Obfuskasyonu
Teknik: .NET assembly namespace'leri tersine çevrilerek string analizi engelleniyor!
gnidaerhT.me = "Threading" → tersine + .me TLD (gizleme) eroC.me = "Core" → tersine + .me emitnuR.me = "Runtime" → tersine + .me cruoseR.me = "Resource" → tersine + .me cruoseR.se = "Resource" → tersine + .se -- .me/.se gibi meşru TLD eklenerek domain gibi görünür -- Statik analistler meşru domain sanıp geçebilir!
WhisperGate Hakkında
WhisperGate, Ocak 2022'de Ukrayna hükümeti sistemlerine yönelik yıkıcı siber saldırıda kullanılan wiper (silici) kötü amaçlı yazılımdır. MBR'yi (Master Boot Record) bozan bir bileşeni ve dosya şifreleyen/silen bir bileşeni vardır. Rusya'ya atfedilmiş ve Ukrayna-Rusya savaşının siber boyutunun önemli bir parçasıdır. Fidye yazılımı görüntüsü vermesine rağmen gerçek amacı veri imhası ve sistem çöküşüdür.
IOC
| SHA256 | 85d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4 |
|---|---|
| Obfuskas | Tersine .NET namespace (.me/.se TLD) |
| Hedef | Ukrayna hükümeti sistemleri (2022) |
WhisperGate — Profil du malware
WhisperGate Ukrayna 2022 siber saldırısı. Ters .NET namespace obfuscation. MBR silme. Rusya APT.
Type de malware
Wiper
Langage de programmation
C#
Protocole C2
—
Systèmes ciblés
Windows
Capacités et comportement
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
Liste IOC (4 indicateurs)
IOC — WhisperGate
# DOMAIN
gnidaerht.me
# DOMAIN
eroc.me
# DOMAIN
emitnur.me
# DOMAIN
cruoser.me
| Type | Valeur | Note |
|---|---|---|
| domain | gnidaerht.me | |
| domain | eroc.me | |
| domain | emitnur.me | |
| domain | cruoser.me |