BiBi ablaktörlő

Megfigyelték, hogy a BiBi Wiper malware új változata a lemezpartíciós táblát célozza meg, ami megnehezíti az adatok visszaállítását és meghosszabbítja az áldozatok állásidejét. A BiBi Wiper segítségével Izrael és Albánia ellen elkövetett támadásokat a Void Manticore (Storm-842) néven ismert feltételezett iráni hackercsoportra vezették vissza, amely feltehetően kapcsolatban áll az iráni hírszerzési és biztonsági minisztériummal (MOIS).

A kutatók először 2023 októberében azonosították a BiBi Wipert, ami miatt az izraeli CERT 2023 novemberében figyelmeztetést adott ki az ország kritikus szervezetei elleni kiterjedt kibertámadásokról. Egy friss jelentés a BiBi Wiper újabb verzióit tárta fel, valamint két másik egyedi ablaktörlőt, a Cl Wipert és a Partition Wipert, amelyeket ugyanaz a fenyegető csoport alkalmaz.

A Void Manticore kiberbűnözők hamis personák mögé bújhatnak

A gyanú szerint a Void Manticore a Karma hacktivizmus csoport leple alatt működik a Telegramon, amely a Hamász októberi Izrael elleni támadása nyomán jelent meg. A Karma több mint 40 izraeli entitás elleni támadásokért vállalta a felelősséget, a Telegram segítségével begyűjtött adatokat vagy törölt meghajtók bizonyítékait, felerősítve tevékenységük hatását. Az albán műveletekben a Homeland Justice néven ismert személy vett részt, és az ellopott akták egy része kiszivárgott a Telegramon.

Ez a taktika szorosan tükrözi a Sandworm (APT44) működési módját, amely a hacktivista témájú Telegram csatornák használatáról ismert, mint például a XakNet Team, a CyberArmyofRussia_Reborn és a Solntsepek.

Érdekes felfedezés, hogy a Void Manticore bizonyos esetekben a sérült infrastruktúra irányítását a Scarred Manticore-ra ruházza át. A Scarred Manticore a kezdeti hozzáférés létrehozására specializálódott, gyakran kihasználva a sebezhetőségeket, például a Microsoft Sharepoint CVE-2019-0604 hibáját, az SMB oldalirányú mozgását és az e-mailek begyűjtését. A beszivárgást követően ezek a szervezetek átkerülnek a Void Manticore-hoz a hasznos teherbefecskendezés, a hálózaton belüli további oldalirányú mozgás és az adattörlési mechanizmusok telepítése céljából.

A BiBi ablaktörlő folyamatosan fejleszti pusztító képességeit

A Void Manticore számos eszközt alkalmaz pusztító tevékenységeihez, beleértve a webhéjakat, a kézi törlési eszközöket, az egyedi ablaktörlőket és a hitelesítés-ellenőrző eszközöket.

A BiBi Wiper rosszindulatú program legújabb iterációi a rendszeren kívüli fájlokat manipulálják úgy, hogy véletlenszerű adatokkal helyettesítik azokat, és egy véletlenszerűen generált kiterjesztést fűznek hozzá, amely tartalmazza a „BiBi” azonosítót. A BiBi Linux és Windows változatokban is megjelenik, mindegyik eltérő jellemzőkkel és működési árnyalatokkal.

Linux környezetben a BiBi több szálat kezdeményez a rendelkezésre álló CPU magoknak megfelelően, hogy felgyorsítsa a törlési folyamatot. Ezzel szemben a BiBi Windows-verziója kizárja a .sys, .exe és .dll fájlokat, hogy megakadályozza a rendszer indíthatatlanná tételét.

A korábbi iterációkkal ellentétben a frissített változatok kizárólag izraeli rendszereket céloznak meg, és tartózkodnak az árnyékmásolatok törlésétől vagy a rendszer Error Recovery képernyőjének letiltásától. Most azonban eltávolítják a partíciós információkat a lemezről, növelve az adat-helyreállítás kihívását.

A partíciótörlők kifejezetten a rendszer partíciós táblájára összpontosítanak, így a lemez elrendezése visszaállíthatatlan. Ez megnehezíti az adatok visszaállítására irányuló erőfeszítéseket, és felerősíti az okozott kár mértékét. Az áldozatok gyakran szembesülnek a halálos kék képernyővel (BSOD) vagy a rendszer összeomlásával az újraindításkor, mivel ezek az ablaktörlők a Master Boot Record (MBR) és a GUID partíciós tábla (GPT) partícióit is érintik.