BiBi Visker

En ny variant af BiBi Wiper malware er blevet observeret målrettet mod diskpartitionstabellen, hvilket komplicerer datagendannelse og forlænger nedetiden for ofrene. Angreb med BiBi Wiper på Israel og Albanien er blevet sporet til en formodet iransk hackergruppe kendt som Void Manticore (Storm-842), der menes at være tilknyttet Irans ministerium for efterretning og sikkerhed (MOIS).

Forskere identificerede først BiBi Wiper i oktober 2023, hvilket fik Israels CERT til at udsende en advarsel i november 2023 om omfattende cyberangreb mod kritiske organisationer i landet. En nylig rapport har afsløret nyere versioner af BiBi Wiper sammen med to andre brugerdefinerede wipere, Cl Wiper og Partition Wiper, ansat af den samme trusselgruppe.

The Void Manticore cyberkriminelle kan gemme sig bag falske personas

Det er mistænkt, at Void Manticore opererer under dække af Karma-hacktivisme-gruppen på Telegram, der dukker op i kølvandet på Hamas-angrebet på Israel i oktober. Karma har taget ansvaret for angreb på mere end 40 israelske enheder, ved at bruge Telegram til at fremvise høstede data eller beviser på slettede drev, hvilket forstærker virkningen af deres aktiviteter. De albanske operationer involverede en persona kendt som Homeland Justice, og nogle af de stjålne filer blev lækket på Telegram.

Denne taktik afspejler tæt modus operandi af Sandworm (APT44), kendt for at bruge hacktivist-tema Telegram-kanaler såsom XakNet Team, CyberArmyofRussia_Reborn og Solntsepek.

En spændende afsløring er, at Void Manticore ser ud til at delegere kontrol over kompromitteret infrastruktur til Scarred Manticore i visse tilfælde. Scarred Manticore har specialiseret sig i at etablere indledende adgang, ofte udnytte sårbarheder som Microsoft Sharepoint CVE-2019-0604-fejlen, udføre SMB-sidebevægelser og høste e-mails. Når de er infiltreret, sendes disse organisationer til Void Manticore for indsprøjtning af nyttelast, yderligere lateral bevægelse inden for netværket og implementering af datasletningsmekanismer.

BiBi Wiper fortsætter med at udvikle sine destruktive egenskaber

Void Manticore anvender en række værktøjer til sine destruktive aktiviteter, herunder webskaller, værktøjer til manuel sletning, brugerdefinerede vinduesviskere og værktøjer til bekræftelse af legitimationsoplysninger.

De seneste iterationer af BiBi Wiper malware manipulerer med ikke-systemfiler ved at erstatte dem med tilfældige data og tilføje en tilfældigt genereret udvidelse, der indeholder 'BiBi' identifikatoren. BiBi manifesterer sig i både Linux- og Windows-varianter, hver med særskilte karakteristika og operationelle nuancer.

I Linux-miljøer initierer BiBi flere tråde svarende til de tilgængelige CPU-kerner for at fremskynde sletningsprocessen. Omvendt udelukker Windows-versionen af BiBi .sys-, .exe- og .dll-filer for at forhindre, at systemet bliver ustartbart.

I modsætning til tidligere iterationer er de opdaterede varianter udelukkende rettet mod israelske systemer og afstår fra at slette skyggekopier eller deaktivere systemets fejlgendannelsesskærm. Men de fjerner nu partitionsoplysninger fra disken, hvilket øger udfordringen med datagendannelse.

Partition Wipers fokuserer specifikt på systemets partitionstabel, hvilket gør disklayoutet uigenkaldeligt. Dette komplicerer indsatsen for at gendanne data og forstærker omfanget af den påførte skade. Ofre støder ofte på en blue screen of death (BSOD) eller systemnedbrud ved genstart, da disse viskere påvirker både Master Boot Record (MBR) og GUID Partition Table (GPT) partitionerne.