Manuel Statik Analiz — WhisperGate Wiper | Tehdit: KRITIK

Dosya Kimliği

SHA25685d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4
Boyut544.256 byte
String Sayisi2.488

.NET Namespace Tersine Çevirme Obfuskasyonu

Teknik: .NET assembly namespace'leri tersine çevrilerek string analizi engelleniyor!
gnidaerhT.me  = "Threading"  → tersine + .me TLD (gizleme)
eroC.me       = "Core"       → tersine + .me
emitnuR.me    = "Runtime"    → tersine + .me
cruoseR.me    = "Resource"   → tersine + .me
cruoseR.se    = "Resource"   → tersine + .se
-- .me/.se gibi meşru TLD eklenerek domain gibi görünür
-- Statik analistler meşru domain sanıp geçebilir!

WhisperGate Hakkında

WhisperGate, Ocak 2022'de Ukrayna hükümeti sistemlerine yönelik yıkıcı siber saldırıda kullanılan wiper (silici) kötü amaçlı yazılımdır. MBR'yi (Master Boot Record) bozan bir bileşeni ve dosya şifreleyen/silen bir bileşeni vardır. Rusya'ya atfedilmiş ve Ukrayna-Rusya savaşının siber boyutunun önemli bir parçasıdır. Fidye yazılımı görüntüsü vermesine rağmen gerçek amacı veri imhası ve sistem çöküşüdür.

IOC

SHA25685d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4
ObfuskasTersine .NET namespace (.me/.se TLD)
HedefUkrayna hükümeti sistemleri (2022)

WhisperGate — Malware Profile

WhisperGate Ukrayna 2022 siber saldırısı. Ters .NET namespace obfuscation. MBR silme. Rusya APT.

Malware Type
Wiper
Programming Language
C#
C2 Protocol
Target Systems
Windows

Capabilities & Behavior

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC List (4 indicators)

IOC — WhisperGate
# DOMAIN gnidaerht.me # DOMAIN eroc.me # DOMAIN emitnur.me # DOMAIN cruoser.me
TypeValueNote
domain gnidaerht.me
domain eroc.me
domain emitnur.me
domain cruoser.me
Tags
whispergateukraine-wiperreversed-namespaceaptrussiacna-attacknet-obfuscation