Manuel Statik Analiz — WhisperGate Wiper | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 85d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4 |
|---|---|
| Boyut | 544.256 byte |
| String Sayisi | 2.488 |
.NET Namespace Tersine Çevirme Obfuskasyonu
Teknik: .NET assembly namespace'leri tersine çevrilerek string analizi engelleniyor!
gnidaerhT.me = "Threading" → tersine + .me TLD (gizleme) eroC.me = "Core" → tersine + .me emitnuR.me = "Runtime" → tersine + .me cruoseR.me = "Resource" → tersine + .me cruoseR.se = "Resource" → tersine + .se -- .me/.se gibi meşru TLD eklenerek domain gibi görünür -- Statik analistler meşru domain sanıp geçebilir!
WhisperGate Hakkında
WhisperGate, Ocak 2022'de Ukrayna hükümeti sistemlerine yönelik yıkıcı siber saldırıda kullanılan wiper (silici) kötü amaçlı yazılımdır. MBR'yi (Master Boot Record) bozan bir bileşeni ve dosya şifreleyen/silen bir bileşeni vardır. Rusya'ya atfedilmiş ve Ukrayna-Rusya savaşının siber boyutunun önemli bir parçasıdır. Fidye yazılımı görüntüsü vermesine rağmen gerçek amacı veri imhası ve sistem çöküşüdür.
IOC
| SHA256 | 85d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4 |
|---|---|
| Obfuskas | Tersine .NET namespace (.me/.se TLD) |
| Hedef | Ukrayna hükümeti sistemleri (2022) |
WhisperGate — Malware Profile
WhisperGate Ukrayna 2022 siber saldırısı. Ters .NET namespace obfuscation. MBR silme. Rusya APT.
Malware Type
Wiper
Programming Language
C#
C2 Protocol
—
Target Systems
Windows
Capabilities & Behavior
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC List (4 indicators)
IOC — WhisperGate
# DOMAIN
gnidaerht.me
# DOMAIN
eroc.me
# DOMAIN
emitnur.me
# DOMAIN
cruoser.me
| Type | Value | Note |
|---|---|---|
| domain | gnidaerht.me | |
| domain | eroc.me | |
| domain | emitnur.me | |
| domain | cruoser.me |