BiBi-Linux 와이퍼 악성코드

Hamas를 지지하는 핵티비스트 그룹이 BiBi-Linux Wiper라는 새로운 Linux 기반 와이퍼 악성코드를 사용하는 것으로 확인되었습니다. 이 악성 소프트웨어는 특히 이스라엘과 하마스 사이에 분쟁이 진행 중인 이스라엘 조직을 겨냥하고 있습니다.

BiBi-Linux Wiper는 x64 ELF 실행 파일로 설계되었으며 난독화 또는 보호 조치를 사용하지 않습니다. 이 악성코드는 공격자가 대상 폴더를 지정할 수 있게 하며, 루트 권한으로 실행될 경우 전체 운영 체제를 작동 불가능하게 만들 가능성이 있습니다.

BiBi-Linux 와이퍼 악성코드에서 발견된 기타 기능

다양한 기능 중에서 이 악성코드는 멀티스레딩을 사용하여 파일을 동시에 손상시켜 속도와 도달 범위를 향상시킵니다. 파일을 덮어쓰고 '[RANDOM_NAME].BiBi[NUMBER]' 형식의 특정 하드 코딩된 문자열 'BiBi'로 이름을 변경하여 이를 수행합니다. 또한 특정 파일 형식이 손상되지 않도록 제외할 수 있습니다.

C/C++를 사용하여 개발된 이 파괴적인 악성코드의 파일 크기는 1.2MB입니다. 이는 위협 행위자에게 명령줄 매개 변수를 사용하여 대상 폴더를 지정할 수 있는 능력을 부여하며, 특정 경로가 제공되지 않은 경우 기본 선택은 루트 디렉터리('/')입니다. 그러나 이 수준에서 작업을 수행하려면 루트 권한이 필요합니다.

특히 BiBi-Linux Wiper는 실행 중에 'nohup' 명령을 사용하여 백그라운드에서 원활하게 작동하는지 확인합니다. 확장자가 .out 또는 .so인 파일과 같은 특정 파일 형식은 덮어쓰기에서 제외됩니다. 이 예외는 위협이 Unix/Linux 운영 체제에 중요한 공유 라이브러리(.so 파일) 외에도 bibi-linux.out 및 nohup.out과 같은 파일에 의존하여 작동하기 때문에 필수적입니다.

해커들은 중동의 유명 표적에 활동을 집중하고 있습니다

연구원들은 Arid Viper( APT-C-23, Desert Falcon, Gaza Cyber Gang 및 Molerats라고도 함)를 비롯한 여러 이름으로 알려진 하마스 관련 위협 행위자로 의심되는 이들이 두 개의 별개의 하위 그룹으로 활동할 가능성이 있다고 생각합니다. 이러한 각 하위 그룹은 주로 이스라엘이나 팔레스타인을 표적으로 삼아 사이버 스파이 활동을 수행하는 데 중점을 두고 있습니다.

Arid Viper는 일반적으로 팔레스타인과 이스라엘 배경에서 미리 선택된 유명인을 포함하여 개인을 표적으로 삼는 관행에 참여합니다. 또한 특히 국방 및 정부 조직, 법 집행 기관, 정당 및 운동과 같은 중요한 부문 내의 광범위한 그룹을 대상으로 합니다.

목표를 달성하기 위해 Arid Viper는 다양한 공격 체인을 사용합니다. 이러한 체인은 초기 침입 방법으로 사회 공학 및 피싱 공격으로 시작되는 경우가 많으며, 이를 통해 피해자를 감시하도록 설계된 광범위한 맞춤형 악성 코드를 배포할 수 있습니다. 이 맬웨어 무기고는 위협 행위자에게 마이크를 통한 오디오 녹음, 삽입된 플래시 드라이브에서 파일을 탐지 및 추출하는 기능, 저장된 브라우저 자격 증명 도용 등 다양한 스파이 기능을 부여합니다.