비비 와이퍼

BiBi Wiper 악성 코드의 새로운 변종은 디스크 파티션 테이블을 표적으로 삼아 데이터 복원을 복잡하게 만들고 피해자의 다운타임을 연장시키는 것으로 관찰되었습니다. 이스라엘과 알바니아에 대한 BiBi Wiper를 사용한 공격은 이란 정보보안부(MOIS)와 연계된 것으로 추정되는 Void Manticore(Storm-842)로 알려진 이란 해킹 그룹으로 추정됩니다.

연구원들은 2023년 10월에 처음으로 BiBi Wiper를 확인했으며, 이로 인해 이스라엘 CERT는 2023년 11월 이스라엘의 중요 조직에 대한 광범위한 사이버 공격에 대해 경고를 발령했습니다. 최근 보고서에 따르면 BiBi Wiper의 최신 버전과 동일한 위협 그룹이 사용하는 두 가지 맞춤형 와이퍼인 Cl Wiper 및 Partition Wiper가 공개되었습니다.

보이드 맨티코어 사이버 범죄자들은 가짜 페르소나 뒤에 숨어 있을 수 있습니다

Void Manticore는 지난 10월 이스라엘에 대한 하마스 공격 이후 등장한 텔레그램의 카르마 핵티비즘 그룹을 가장하여 활동하는 것으로 의심됩니다. Karma는 Telegram을 사용하여 수집된 데이터나 삭제된 드라이브의 증거를 보여줌으로써 40개 이상의 이스라엘 기업에 대한 공격을 담당했으며 이들의 활동에 대한 영향을 증폭시켰습니다. 알바니아 작전에는 국토 정의(Homeland Justice)라는 인물이 참여했으며, 도난당한 파일 중 일부가 텔레그램에 유출되었습니다.

이 전술은 XakNet Team, CyberArmyofRussia_Reborn 및 Solntsepek과 같은 핵티비스트 테마의 텔레그램 채널을 활용하는 것으로 알려진 Sandworm (APT44)의 작업 방식과 밀접하게 유사합니다.

흥미로운 사실은 공허 만티코어가 어떤 경우에는 훼손된 기반 시설에 대한 통제권을 Scarred Manticore에게 위임하는 것 같다는 것입니다. Scarred Manticore는 초기 액세스 설정을 전문으로 하며 종종 Microsoft Sharepoint CVE-2019-0604 결함과 같은 취약점을 악용하고 SMB 측면 이동을 수행하며 이메일을 수집합니다. 일단 침투하면 이러한 조직은 페이로드 주입, 네트워크 내 추가 측면 이동 및 데이터 삭제 메커니즘 배포를 위해 Void Manticore로 전달됩니다.

BiBi 와이퍼는 파괴 능력을 계속 발전시키고 있습니다.

Void Manticore는 파괴적인 활동을 위해 웹 셸, 수동 삭제 도구, 맞춤형 와이퍼 및 자격 증명 확인 도구를 포함한 다양한 도구를 사용합니다.

BiBi Wiper 악성 코드의 최신 버전은 시스템 파일이 아닌 파일을 무작위 데이터로 대체하고 'BiBi' 식별자가 포함된 무작위로 생성된 확장자를 추가하여 이를 변조합니다. BiBi는 Linux와 Windows 변형 모두에서 나타나며 각각 고유한 특징과 작동상의 미묘한 차이가 있습니다.

Linux 환경에서 BiBi는 삭제 프로세스를 가속화하기 위해 사용 가능한 CPU 코어에 해당하는 여러 스레드를 시작합니다. 반대로, BiBi의 Windows 버전에서는 시스템이 부팅 불가능하게 렌더링되는 것을 방지하기 위해 .sys, .exe 및 .dll 파일을 제외합니다.

이전 반복과 달리 업데이트된 변종은 이스라엘 시스템만을 대상으로 하며 섀도 복사본을 지우거나 시스템의 오류 복구 화면을 비활성화하지 않습니다. 그러나 이제는 디스크에서 파티션 정보를 제거하므로 데이터 복구의 어려움이 더욱 커집니다.

파티션 와이퍼는 특히 시스템의 파티션 테이블에 초점을 맞춰 디스크 레이아웃을 복구할 수 없게 만듭니다. 이로 인해 데이터 복원 노력이 복잡해지고 피해 규모가 증폭됩니다. 피해자는 재부팅 시 블루 스크린(BSOD)이나 시스템 충돌을 경험하는 경우가 많습니다. 이러한 와이퍼는 MBR(마스터 부트 레코드) 및 GPT(GUID 파티션 테이블) 파티션 모두에 영향을 미치기 때문입니다.