Manuel Statik Analiz — WhisperGate Wiper | Tehdit: KRITIK

파일 Kimliği

SHA25685d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4
크기544.256 byte
String Sayisi2.488

.NET Namespace Tersine Çevirme Obfuskasyonu

Teknik: .NET assembly namespace'leri tersine çevrilerek string analizi engelleniyor!
gnidaerhT.me  = "Threading"  → tersine + .me TLD (gizleme)
eroC.me       = "Core"       → tersine + .me
emitnuR.me    = "Runtime"    → tersine + .me
cruoseR.me    = "Resource"   → tersine + .me
cruoseR.se    = "Resource"   → tersine + .se
-- .me/.se gibi meşru TLD eklenerek domain gibi görünür
-- Statik analistler meşru domain sanıp geçebilir!

WhisperGate Hakkında

WhisperGate, Ocak 2022'de Ukrayna hükümeti sistemlerine yönelik yıkıcı siber saldırıda kullanılan wiper (silici) kötü amaçlı yazılımdır. MBR'yi (Master Boot Record) bozan bir bileşeni ve dosya şifreleyen/silen bir bileşeni vardır. Rusya'ya atfedilmiş ve Ukrayna-Rusya savaşının siber boyutunun önemli bir parçasıdır. Fidye yazılımı görüntüsü vermesine rağmen gerçek amacı veri imhası ve sistem çöküşüdür.

IOC

SHA25685d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4
ObfuskasTersine .NET namespace (.me/.se TLD)
HedefUkrayna hükümeti sistemleri (2022)

WhisperGate — 악성코드 프로필

WhisperGate Ukrayna 2022 siber saldırısı. Ters .NET namespace obfuscation. MBR silme. Rusya APT.

악성코드 유형
Wiper
프로그래밍 언어
C#
C2 프로토콜
대상 시스템
Windows

기능 및 동작

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC 목록 (4 개 지표)

IOC — WhisperGate
# DOMAIN gnidaerht.me # DOMAIN eroc.me # DOMAIN emitnur.me # DOMAIN cruoser.me
유형메모
domain gnidaerht.me
domain eroc.me
domain emitnur.me
domain cruoser.me
태그
whispergateukraine-wiperreversed-namespaceaptrussiacna-attacknet-obfuscation