Manuel Statik Analiz — HermeticWiper | Tehdit: KRİTİK

Dosya Kimliği

SHA2562d29f9ca1d9089ba122632b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Boyut122.632 byte (119KB, DLL formatı)
String Sayisi951 (yoğun packed)

Ukrayna 2022 Siber Saldırısı

ULUS-DEVLET: Rusya APT — Ukrayna siber savaş bileşeni!
HermeticWiper = 24 Şubat 2022 Ukrayna işgali öncesinde
-- Ukrayna'nın kritik altyapısını hedef aldı
-- Sertifika: "Hermetica Digital Ltd." (Kıbrıs kayıtlı)
-- Meşru kod imzalama sertifikası ile imzalandı → EDR bypass
-- Görev: MBR ve dosyaları silmek, sistem kurtarılamaz hale getirmek

Ağ Sürücüsü Silme: WNet API

YAYILMA: Ağdaki diğer sistemlere saldırı!
WNetAddConnection2W    -- ağ paylaşımına bağlan (SMB, UNC yolu)
WNetCancelConnection2W -- ağ bağlantısını kapat
-- HermeticWiper: yalnızca yerel disk değil, ağ sürücülerini de siliyor!
-- \\server\share UNC yoluna bağlanır → o sunucudaki dosyaları da yok eder
-- Kurumsal ağ: bir enfeksiyon → tüm paylaşılan depolama silinebilir
-- WNet API = Windows Networking = yerel ile ağ dosyalarını aynı şekilde siler

IOC

SHA2562d29f9ca1d9089ba122632b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TeknikWNetAddConnection2W ağ sürücüsü silme
KökenUkrayna 2022 siber saldırısı (Rusya APT)

HermeticWiper — Malware Profile

HermeticWiper Ukrayna 2022 siber saldırısı. WNetAddConnection2W ağ sürücüsü silme. Hermetica Digital sertifikası.

Malware Type
Wiper
Programming Language
C
C2 Protocol
Target Systems
Windows

Capabilities & Behavior

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC List (1 indicators)

IOC — HermeticWiper
# SHA256 2d29f9ca1d9089ba122632b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 2d29f9ca1d9089ba122632b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
hermeticwiperwnetaddconnection2w-network-drivewnetcancelconnection2wnetwork-share-wipingukraine-cyberattack-2022ukraine-wiperrussia-apt