BiBi Wiper

Беше наблюдаван нов вариант на злонамерения софтуер BiBi Wiper, насочен към таблицата на дяловете на диска, усложнявайки възстановяването на данни и удължавайки времето за престой на своите жертви. Атаките с помощта на BiBi Wiper срещу Израел и Албания са проследени до предполагаема иранска хакерска група, известна като Void Manticore (Storm-842), за която се смята, че е свързана с Министерството на разузнаването и сигурността на Иран (MOIS).

Изследователите за първи път идентифицираха BiBi Wiper през октомври 2023 г., което накара израелския CERT да издаде предупреждение през ноември 2023 г. за обширни кибератаки срещу критични организации в страната. Скорошен доклад разкри по-нови версии на BiBi Wiper заедно с две други персонализирани чистачки, Cl Wiper и Partition Wiper, използвани от същата група заплахи.

Киберпрестъпниците от Void Manticore може да се крият зад фалшиви персони

Подозира се, че Void Manticore действа под прикритието на групата за хактивизъм Karma в Telegram, появила се след атаката на Хамас срещу Израел през октомври. Karma пое отговорност за атаки срещу повече от 40 израелски организации, използвайки Telegram, за да покаже събрани данни или доказателства за изтрити дискове, засилвайки въздействието на техните дейности. Албанските операции включват лице, известно като Homeland Justice, и някои от откраднатите файлове са изтекли в Telegram.

Тази тактика отразява точно начина на действие на Sandworm (APT44), известен с използването на канали в Telegram с хактивистка тематика като XakNet Team, CyberArmyofRussia_Reborn и Solntsepek.

Интригуващо разкритие е, че Void Manticore изглежда делегира контрола върху компрометираната инфраструктура на Scarred Manticore в определени случаи. Scarred Manticore е специализиран в установяването на първоначален достъп, като често използва уязвимости като пропуска на Microsoft Sharepoint CVE-2019-0604, провеждане на SMB странично движение и събиране на имейли. Веднъж инфилтрирани, тези организации се предават на Void Manticore за инжектиране на полезен товар, по-нататъшно странично движение в мрежата и внедряване на механизми за изтриване на данни.

BiBi Wiper продължава да развива разрушителните си способности

Void Manticore използва набор от инструменти за своите разрушителни дейности, включително уеб черупки, инструменти за ръчно изтриване, персонализирани чистачи и инструменти за проверка на идентификационни данни.

Последните повторения на злонамерения софтуер BiBi Wiper подправят несистемни файлове, като ги заменят с произволни данни и добавят произволно генерирано разширение, съдържащо идентификатора „BiBi“. BiBi се проявява както в Linux, така и в Windows варианти, всеки с различни характеристики и оперативни нюанси.

В среди на Linux BiBi инициира множество нишки, съответстващи на наличните процесорни ядра, за да ускори процеса на изтриване. Обратно, версията на BiBi за Windows изключва .sys, .exe и .dll файлове, за да предотврати превръщането на системата в нестартираща.

За разлика от предишните итерации, актуализираните варианти са насочени изключително към израелски системи и се въздържат от изтриване на скрити копия или деактивиране на екрана за възстановяване на грешки на системата. Сега обаче те елиминират информацията за дяловете от диска, което засилва предизвикателството при възстановяването на данни.

Partition Wipers се фокусират конкретно върху таблицата с дялове на системата, което прави оформлението на диска непоправимо. Това усложнява усилията за възстановяване на данни и увеличава размера на нанесените щети. Жертвите често се сблъскват със син екран на смъртта (BSOD) или системни сривове при рестартиране, тъй като тези чистачки засягат както дяловете на Главния запис за стартиране (MBR), така и на GUID Partition Table (GPT).