برف پاک کن BiBi

نوع جدیدی از بدافزار BiBi Wiper مشاهده شده است که جدول پارتیشن دیسک را هدف قرار می دهد، بازیابی داده ها را پیچیده می کند و زمان خرابی قربانیان را طولانی می کند. حملات با استفاده از BiBi Wiper به اسرائیل و آلبانی در یک گروه هکری مشکوک ایرانی به نام Void Manticore (Storm-842) که گمان می رود وابسته به وزارت اطلاعات و امنیت ایران (MOIS) باشد، ردیابی شده است.

محققان برای اولین بار BiBi Wiper را در اکتبر 2023 شناسایی کردند که باعث شد CERT اسرائیل در نوامبر 2023 هشداری در مورد حملات سایبری گسترده علیه سازمان های مهم در این کشور صادر کند. گزارش اخیر نسخه های جدیدتر BiBi Wiper را به همراه دو برف پاک کن سفارشی دیگر، Cl Wiper و Partition Wiper که توسط همان گروه تهدید استفاده می شود، فاش کرده است.

مجرمان سایبری Void Manticore ممکن است پشت پرسونای جعلی پنهان شوند

گمان می رود که Void Manticore تحت پوشش گروه هکتیویسم Karma در تلگرام فعالیت می کند که در پی حمله حماس به اسرائیل در ماه اکتبر ظاهر شد. کارما مسئولیت حملات به بیش از 40 نهاد اسرائیلی را بر عهده گرفته است و از تلگرام برای نمایش داده‌های جمع‌آوری‌شده یا شواهدی از درایوهای پاک‌شده استفاده می‌کند و تأثیر فعالیت‌های آنها را تقویت می‌کند. عملیات آلبانیایی شامل شخصیتی به نام عدالت میهن بود و برخی از پرونده های سرقت شده در تلگرام به بیرون درز کرد.

این تاکتیک دقیقاً منعکس کننده روش کار Sandworm (APT44) است که به دلیل استفاده از کانال‌های تلگرام با مضمون هک‌تیفیستی مانند تیم XakNet، CyberArmyofRussia_Reborn و Solntsepek شناخته می‌شود.

یک مکاشفه جالب این است که به نظر می رسد مانتیکور خالی کنترل زیرساخت های آسیب دیده را در موارد خاص به Scarred Manticore واگذار می کند. Scarred Manticore در ایجاد دسترسی اولیه، اغلب از آسیب‌پذیری‌هایی مانند نقص Microsoft Sharepoint CVE-2019-0604، انجام حرکت جانبی SMB و جمع‌آوری ایمیل‌ها تخصص دارد. پس از نفوذ، این سازمان ها برای تزریق بار، حرکت جانبی بیشتر در شبکه و استقرار مکانیسم های پاک کردن داده ها به Void Manticore منتقل می شوند.

برف پاک کن BiBi به تکامل قابلیت های مخرب خود ادامه می دهد

Void Manticore از طیف وسیعی از ابزارها برای فعالیت های مخرب خود استفاده می کند، از جمله پوسته های وب، ابزارهای حذف دستی، برف پاک کن های سفارشی و ابزارهای تأیید اعتبار.

آخرین نسخه‌های بدافزار BiBi Wiper با جایگزین کردن آنها با داده‌های تصادفی و افزودن یک پسوند تولید شده به‌طور تصادفی حاوی شناسه «BiBi»، فایل‌های غیر سیستمی را دستکاری می‌کنند. BiBi در هر دو نوع لینوکس و ویندوز ظاهر می شود که هر کدام دارای ویژگی های متمایز و تفاوت های ظریف عملیاتی هستند.

در محیط‌های لینوکس، BiBi چندین رشته مرتبط با هسته‌های CPU موجود را آغاز می‌کند تا فرآیند پاک کردن را تسریع کند. برعکس، نسخه ویندوز BiBi فایل‌های .sys، .exe، و .dll را حذف می‌کند تا از راه‌اندازی نشدن سیستم جلوگیری کند.

برخلاف تکرارهای قبلی، انواع به روز شده منحصراً سیستم های اسرائیلی را هدف قرار می دهند و از پاک کردن کپی های سایه یا غیرفعال کردن صفحه بازیابی خطای سیستم خودداری می کنند. با این حال، آنها اکنون اطلاعات پارتیشن را از دیسک حذف می کنند و چالش بازیابی اطلاعات را تشدید می کنند.

پاک کننده های پارتیشن به طور خاص بر روی جدول پارتیشن سیستم تمرکز می کنند و طرح دیسک را غیرقابل بازیابی می کند. این کار تلاش ها برای بازیابی داده ها را پیچیده می کند و میزان آسیب وارد شده را افزایش می دهد. قربانیان اغلب با صفحه آبی مرگ (BSOD) یا خرابی سیستم هنگام راه اندازی مجدد مواجه می شوند، زیرا این برف پاک کن ها بر پارتیشن های Master Boot Record (MBR) و GUID Partition Table (GPT) تأثیر می گذارند.