Manuel Statik Analiz — WhisperGate Wiper | Tehdit: KRITIK
Archivo Kimliği
| SHA256 | 85d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4 |
|---|---|
| Tamaño | 544.256 byte |
| String Sayisi | 2.488 |
.NET Namespace Tersine Çevirme Obfuskasyonu
Teknik: .NET assembly namespace'leri tersine çevrilerek string analizi engelleniyor!
gnidaerhT.me = "Threading" → tersine + .me TLD (gizleme) eroC.me = "Core" → tersine + .me emitnuR.me = "Runtime" → tersine + .me cruoseR.me = "Resource" → tersine + .me cruoseR.se = "Resource" → tersine + .se -- .me/.se gibi meşru TLD eklenerek domain gibi görünür -- Statik analistler meşru domain sanıp geçebilir!
WhisperGate Hakkında
WhisperGate, Ocak 2022'de Ukrayna hükümeti sistemlerine yönelik yıkıcı siber saldırıda kullanılan wiper (silici) kötü amaçlı yazılımdır. MBR'yi (Master Boot Record) bozan bir bileşeni ve dosya şifreleyen/silen bir bileşeni vardır. Rusya'ya atfedilmiş ve Ukrayna-Rusya savaşının siber boyutunun önemli bir parçasıdır. Fidye yazılımı görüntüsü vermesine rağmen gerçek amacı veri imhası ve sistem çöküşüdür.
IOC
| SHA256 | 85d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4 |
|---|---|
| Obfuskas | Tersine .NET namespace (.me/.se TLD) |
| Hedef | Ukrayna hükümeti sistemleri (2022) |
WhisperGate — Perfil del malware
WhisperGate Ukrayna 2022 siber saldırısı. Ters .NET namespace obfuscation. MBR silme. Rusya APT.
Tipo de malware
Wiper
Lenguaje de programación
C#
Protocolo C2
—
Sistemas objetivo
Windows
Capacidades y comportamiento
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
Lista IOC (4 indicadores)
IOC — WhisperGate
# DOMAIN
gnidaerht.me
# DOMAIN
eroc.me
# DOMAIN
emitnur.me
# DOMAIN
cruoser.me
| Tipo | Valor | Nota |
|---|---|---|
| domain | gnidaerht.me | |
| domain | eroc.me | |
| domain | emitnur.me | |
| domain | cruoser.me |