Manuel Statik Analiz — WhisperGate Wiper | Tehdit: KRITIK
Arquivo Kimliği
| SHA256 | 85d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4 |
|---|---|
| Tamanho | 544.256 byte |
| String Sayisi | 2.488 |
.NET Namespace Tersine Çevirme Obfuskasyonu
Teknik: .NET assembly namespace'leri tersine çevrilerek string analizi engelleniyor!
gnidaerhT.me = "Threading" → tersine + .me TLD (gizleme) eroC.me = "Core" → tersine + .me emitnuR.me = "Runtime" → tersine + .me cruoseR.me = "Resource" → tersine + .me cruoseR.se = "Resource" → tersine + .se -- .me/.se gibi meşru TLD eklenerek domain gibi görünür -- Statik analistler meşru domain sanıp geçebilir!
WhisperGate Hakkında
WhisperGate, Ocak 2022'de Ukrayna hükümeti sistemlerine yönelik yıkıcı siber saldırıda kullanılan wiper (silici) kötü amaçlı yazılımdır. MBR'yi (Master Boot Record) bozan bir bileşeni ve dosya şifreleyen/silen bir bileşeni vardır. Rusya'ya atfedilmiş ve Ukrayna-Rusya savaşının siber boyutunun önemli bir parçasıdır. Fidye yazılımı görüntüsü vermesine rağmen gerçek amacı veri imhası ve sistem çöküşüdür.
IOC
| SHA256 | 85d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4 |
|---|---|
| Obfuskas | Tersine .NET namespace (.me/.se TLD) |
| Hedef | Ukrayna hükümeti sistemleri (2022) |
WhisperGate — Perfil do malware
WhisperGate Ukrayna 2022 siber saldırısı. Ters .NET namespace obfuscation. MBR silme. Rusya APT.
Tipo de malware
Wiper
Linguagem de programação
C#
Protocolo C2
—
Sistemas-alvo
Windows
Capacidades e comportamento
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
Lista IOC (4 indicadores)
IOC — WhisperGate
# DOMAIN
gnidaerht.me
# DOMAIN
eroc.me
# DOMAIN
emitnur.me
# DOMAIN
cruoser.me
| Tipo | Valor | Nota |
|---|---|---|
| domain | gnidaerht.me | |
| domain | eroc.me | |
| domain | emitnur.me | |
| domain | cruoser.me |