BiBi-Linux Wiper Malware

En hacktivistgruppe som støtter Hamas har blitt identifisert ved å bruke en ny Linux-basert wiper malware kalt BiBi-Linux Wiper. Denne ondsinnede programvaren er spesielt rettet mot israelske organisasjoner under den pågående konflikten mellom Israel og Hamas.

BiBi-Linux Wiper er utformet som en x64 ELF-kjørbar og bruker ikke tilsløring eller beskyttende tiltak. Denne skadelige programvaren lar angripere utpeke målmapper, og hvis den kjøres med rottillatelser, har den potensialet til å gjøre et helt operativsystem ubrukelig.

Andre funksjoner oppdaget i BiBi-Linux Wiper Malware

Blant de ulike funksjonene, bruker skadelig programvare multithreading for å korrupte filer samtidig, og dermed øke hastigheten og rekkevidden. Den oppnår dette ved å overskrive filer og gi dem nytt navn med en spesifikk hardkodet streng 'BiBi' i formatet '[RANDOM_NAME].BiBi[NUMBER]'. I tillegg kan det ekskludere visse filtyper fra å bli ødelagt.

Denne destruktive skadevare, utviklet med C/C++, har en filstørrelse på 1,2 MB. Det gir trusselaktøren muligheten til å spesifisere målmapper ved hjelp av kommandolinjeparametere, med standardvalget som rotkatalogen ('/') hvis ingen spesifikk bane er oppgitt. Men å utføre handlinger på dette nivået krever root-tillatelser.

Spesielt bruker BiBi-Linux Wiper 'nohup'-kommandoen under utførelse for å sikre at den fungerer jevnt i bakgrunnen. Enkelte filtyper er unntatt fra å bli overskrevet, for eksempel de med filtypene .out eller .so. Dette unntaket er viktig fordi trusselen er avhengig av filer som bibi-linux.out og nohup.out for driften, i tillegg til delte biblioteker som er avgjørende for Unix/Linux-operativsystemet (.so-filer).

Hackere fokuserer sine aktiviteter på høyprofilerte mål i Midtøsten

Forskere mener at den mistenkte Hamas-tilknyttede trusselaktøren, kjent under flere navn, inkludert Arid Viper (også referert til som APT-C-23, Desert Falcon, Gaza Cyber Gang og Molerats), sannsynligvis opererer som to distinkte undergrupper. Hver av disse undergruppene er primært fokusert på å drive nettspionasjeaktiviteter rettet mot enten Israel eller Palestina.

The Arid Viper engasjerer seg ofte i praksisen med å målrette mot individer, inkludert forhåndsutvalgte høyprofilerte individer fra både palestinsk og israelsk bakgrunn. De retter seg også mot bredere grupper, spesielt innenfor kritiske sektorer som forsvars- og regjeringsorganisasjoner, rettshåndhevelse, samt politiske partier og bevegelser.

For å nå målene sine bruker Arid Viper forskjellige angrepskjeder. Disse kjedene begynner ofte med sosial engineering og phishing-angrep som innledende inntrengningsmetoder, noe som gjør dem i stand til å distribuere et bredt spekter av tilpasset skadelig programvare designet for å spionere på ofrene deres. Dette malware-arsenalet gir trusselaktøren et mangfoldig sett med spioneringsevner, inkludert lydopptak gjennom mikrofonen, muligheten til å oppdage og eksfiltrere filer fra innsatte flash-stasjoner og tyveri av lagret nettleserlegitimasjon.