Manuel Statik Analiz — WhisperGate Wiper | Tehdit: KRITIK

Файл Kimliği

SHA25685d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4
Размер544.256 byte
String Sayisi2.488

.NET Namespace Tersine Çevirme Obfuskasyonu

Teknik: .NET assembly namespace'leri tersine çevrilerek string analizi engelleniyor!
gnidaerhT.me  = "Threading"  → tersine + .me TLD (gizleme)
eroC.me       = "Core"       → tersine + .me
emitnuR.me    = "Runtime"    → tersine + .me
cruoseR.me    = "Resource"   → tersine + .me
cruoseR.se    = "Resource"   → tersine + .se
-- .me/.se gibi meşru TLD eklenerek domain gibi görünür
-- Statik analistler meşru domain sanıp geçebilir!

WhisperGate Hakkında

WhisperGate, Ocak 2022'de Ukrayna hükümeti sistemlerine yönelik yıkıcı siber saldırıda kullanılan wiper (silici) kötü amaçlı yazılımdır. MBR'yi (Master Boot Record) bozan bir bileşeni ve dosya şifreleyen/silen bir bileşeni vardır. Rusya'ya atfedilmiş ve Ukrayna-Rusya savaşının siber boyutunun önemli bir parçasıdır. Fidye yazılımı görüntüsü vermesine rağmen gerçek amacı veri imhası ve sistem çöküşüdür.

IOC

SHA25685d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4
ObfuskasTersine .NET namespace (.me/.se TLD)
HedefUkrayna hükümeti sistemleri (2022)

WhisperGate — Профиль вредоносного ПО

WhisperGate Ukrayna 2022 siber saldırısı. Ters .NET namespace obfuscation. MBR silme. Rusya APT.

Тип вредоносного ПО
Wiper
Язык программирования
C#
C2 Протокол
Целевые системы
Windows

Возможности и поведение

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

Список IOC (4 индикаторов)

IOC — WhisperGate
# DOMAIN gnidaerht.me # DOMAIN eroc.me # DOMAIN emitnur.me # DOMAIN cruoser.me
ТипЗначениеПримечание
domain gnidaerht.me
domain eroc.me
domain emitnur.me
domain cruoser.me
Теги
whispergateukraine-wiperreversed-namespaceaptrussiacna-attacknet-obfuscation