BiBi-Linux Wiper Malware

V roce Mezo v roce Malware

Přeložit do:

Skupina hacktivistů podporující Hamás byla identifikována pomocí nového linuxového mazacího malwaru nazvaného BiBi-Linux Wiper. Tento škodlivý software je specificky zaměřen na izraelské organizace během probíhajícího konfliktu mezi Izraelem a Hamasem.

BiBi-Linux Wiper je navržen jako spustitelný soubor x64 ELF a nevyužívá mlžení ani ochranná opatření. Tento malware umožňuje útočníkům určit cílové složky, a pokud je spuštěn s oprávněními root, může způsobit nefunkčnost celého operačního systému.

Další funkce objevené v malwaru BiBi-Linux Wiper

Mezi svými různými schopnostmi malware využívá multithreading k současnému poškození souborů, čímž zvyšuje jeho rychlost a dosah. Dosahuje toho přepsáním souborů a jejich přejmenováním specifickým pevně zakódovaným řetězcem 'BiBi' ve formátu '[RANDOM_NAME].BiBi[NUMBER]'. Kromě toho může vyloučit poškození určitých typů souborů.

Tento destruktivní malware, vyvinutý pomocí C/C++, má velikost souboru 1,2 MB. Uděluje aktérovi hrozby možnost určit cílové složky pomocí parametrů příkazového řádku, přičemž výchozí volbou je kořenový adresář ('/'), pokud není uvedena žádná konkrétní cesta. Provádění akcí na této úrovni však vyžaduje oprávnění uživatele root.

Je pozoruhodné, že BiBi-Linux Wiper používá během provádění příkaz 'nohup', aby zajistil, že bude fungovat hladce na pozadí. Některé typy souborů jsou vyjmuty z přepisování, například soubory s příponami .out nebo .so. Tato výjimka je zásadní, protože hrozba při své činnosti spoléhá na soubory jako bibi-linux.out a nohup.out, kromě sdílených knihoven, které jsou klíčové pro operační systém Unix/Linux (soubory .so).

Hackeři zaměřují své aktivity na významné cíle na Blízkém východě

Výzkumníci se domnívají, že podezřelý aktér hrozby spojený s Hamasem, známý pod několika jmény včetně Arid Viper (také označovaný jako APT-C-23, Desert Falcon, Gaza Cyber Gang a Molerats), pravděpodobně působí jako dvě odlišné podskupiny. Každá z těchto podskupin se primárně zaměřuje na provádění kybernetické špionáže zaměřené buď na Izrael, nebo Palestinu.

Arid Viper se běžně zabývá praktikami zaměřenými na jednotlivce, včetně předem vybraných vysoce postavených jedinců z palestinského i izraelského prostředí. Zaměřují se také na širší skupiny, zejména v kritických sektorech, jako jsou obranné a vládní organizace, vymáhání práva a také politické strany a hnutí.

K dosažení svých cílů používá Arid Viper různé útočné řetězce. Tyto řetězce často začínají sociálním inženýrstvím a phishingovými útoky jako počátečními metodami narušení, což jim umožňuje nasadit širokou škálu vlastního malwaru určeného ke špehování jejich obětí. Tento arzenál malwaru poskytuje aktérovi hrozby rozmanitou sadu možností špehování, včetně záznamu zvuku přes mikrofon, schopnosti detekovat a exfiltrovat soubory z vložených flash disků a krádeže uložených přihlašovacích údajů prohlížeče.