BiBi-Linux Wiper Malware

En hacktivistgruppe, der støtter Hamas, er blevet identificeret ved hjælp af en ny Linux-baseret wiper-malware kaldet BiBi-Linux Wiper. Denne ondsindede software er specifikt rettet mod israelske organisationer under den igangværende konflikt mellem Israel og Hamas.

BiBi-Linux Wiper er designet som en x64 ELF eksekverbar og anvender ikke sløring eller beskyttende foranstaltninger. Denne malware giver angribere mulighed for at udpege målmapper, og hvis den udføres med root-tilladelser, har den potentialet til at gøre et helt operativsystem ubrugeligt.

Andre funktioner opdaget i BiBi-Linux Wiper Malware

Blandt dens forskellige muligheder anvender malwaren multithreading til at korrupte filer samtidigt, og derved forbedre dens hastighed og rækkevidde. Den opnår dette ved at overskrive filer og omdøbe dem med en specifik hårdkodet streng 'BiBi' i formatet '[RANDOM_NAME].BiBi[NUMBER]'. Derudover kan det udelukke visse filtyper fra at blive beskadiget.

Denne destruktive malware, udviklet ved hjælp af C/C++, har en filstørrelse på 1,2 MB. Det giver trusselsaktøren mulighed for at specificere målmapper ved hjælp af kommandolinjeparametre, hvor standardvalget er rodmappen ('/'), hvis der ikke er angivet en specifik sti. Men at udføre handlinger på dette niveau kræver root-tilladelser.

Især BiBi-Linux Wiper anvender 'nohup'-kommandoen under udførelse for at sikre, at den fungerer jævnt i baggrunden. Visse filtyper er undtaget fra at blive overskrevet, såsom dem med filtypenavnet .out eller .so. Denne undtagelse er essentiel, fordi truslen er afhængig af filer som bibi-linux.out og nohup.out til driften, foruden delte biblioteker, der er afgørende for Unix/Linux-operativsystemet (.so-filer).

Hackere fokuserer deres aktiviteter på højprofilerede mål i Mellemøsten

Forskere mener, at den formodede Hamas-tilknyttede trusselsaktør, kendt under flere navne, herunder den tørre hugorm (også omtalt som APT-C-23, Desert Falcon, Gaza Cyber Gang og Molerats), sandsynligvis fungerer som to adskilte undergrupper. Hver af disse undergrupper er primært fokuseret på at udføre cyberspionageaktiviteter rettet mod enten Israel eller Palæstina.

The Arid Viper engagerer sig almindeligvis i praksis med at målrette mod enkeltpersoner, herunder på forhånd udvalgte højprofilerede personer fra både palæstinensisk og israelsk baggrund. De er også rettet mod bredere grupper, især inden for kritiske sektorer som forsvars- og regeringsorganisationer, retshåndhævelse samt politiske partier og bevægelser.

For at nå sine mål anvender Arid Viper forskellige angrebskæder. Disse kæder begynder ofte med social engineering og phishing-angreb som indledende indtrængningsmetoder, hvilket gør dem i stand til at implementere en bred vifte af tilpasset malware designet til at spionere på deres ofre. Dette malware-arsenal giver trusselsaktøren en bred vifte af spionagefunktioner, herunder lydoptagelse gennem mikrofonen, evnen til at detektere og eksfiltrere filer fra indsatte flashdrev og tyveri af gemte browserlegitimationsoplysninger.