Manuel Statik Analiz — WhisperGate Wiper | Tehdit: KRITIK

Arquivo Kimliği

SHA25685d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4
Tamanho544.256 byte
String Sayisi2.488

.NET Namespace Tersine Çevirme Obfuskasyonu

Teknik: .NET assembly namespace'leri tersine çevrilerek string analizi engelleniyor!
gnidaerhT.me  = "Threading"  → tersine + .me TLD (gizleme)
eroC.me       = "Core"       → tersine + .me
emitnuR.me    = "Runtime"    → tersine + .me
cruoseR.me    = "Resource"   → tersine + .me
cruoseR.se    = "Resource"   → tersine + .se
-- .me/.se gibi meşru TLD eklenerek domain gibi görünür
-- Statik analistler meşru domain sanıp geçebilir!

WhisperGate Hakkında

WhisperGate, Ocak 2022'de Ukrayna hükümeti sistemlerine yönelik yıkıcı siber saldırıda kullanılan wiper (silici) kötü amaçlı yazılımdır. MBR'yi (Master Boot Record) bozan bir bileşeni ve dosya şifreleyen/silen bir bileşeni vardır. Rusya'ya atfedilmiş ve Ukrayna-Rusya savaşının siber boyutunun önemli bir parçasıdır. Fidye yazılımı görüntüsü vermesine rağmen gerçek amacı veri imhası ve sistem çöküşüdür.

IOC

SHA25685d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4
ObfuskasTersine .NET namespace (.me/.se TLD)
HedefUkrayna hükümeti sistemleri (2022)

WhisperGate — Perfil do malware

WhisperGate Ukrayna 2022 siber saldırısı. Ters .NET namespace obfuscation. MBR silme. Rusya APT.

Tipo de malware
Wiper
Linguagem de programação
C#
Protocolo C2
Sistemas-alvo
Windows

Capacidades e comportamento

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

Lista IOC (4 indicadores)

IOC — WhisperGate
# DOMAIN gnidaerht.me # DOMAIN eroc.me # DOMAIN emitnur.me # DOMAIN cruoser.me
TipoValorNota
domain gnidaerht.me
domain eroc.me
domain emitnur.me
domain cruoser.me
Tags
whispergateukraine-wiperreversed-namespaceaptrussiacna-attacknet-obfuscation