BiBi vindusvisker

En ny variant av BiBi Wiper malware har blitt observert rettet mot diskpartisjonstabellen, noe som kompliserer datagjenoppretting og forlenger nedetiden for ofrene. Angrep med BiBi Wiper på Israel og Albania har blitt sporet til en mistenkt iransk hackergruppe kjent som Void Manticore (Storm-842), som antas å være tilknyttet Irans etterretnings- og sikkerhetsdepartement (MOIS).

Forskere identifiserte først BiBi Wiper i oktober 2023, noe som førte til at Israels CERT sendte ut en advarsel i november 2023 om omfattende cyberangrep mot kritiske organisasjoner i landet. En fersk rapport har avslørt nyere versjoner av BiBi Wiper sammen med to andre tilpassede vindusviskere, Cl Wiper og Partition Wiper, ansatt av samme trusselgruppe.

The Void Manticore Cybercriminals kan gjemme seg bak falske personas

Det er mistenkt at Void Manticore opererer under dekke av Karma-hacktivisme-gruppen på Telegram, som dukket opp i kjølvannet av Hamas-angrepet på Israel i oktober. Karma har tatt ansvar for angrep på mer enn 40 israelske enheter, ved å bruke Telegram til å vise frem innhentede data eller bevis på utslettede stasjoner, noe som forsterker virkningen av deres aktiviteter. De albanske operasjonene involverte en persona kjent som Homeland Justice, og noen av de stjålne filene ble lekket på Telegram.

Denne taktikken gjenspeiler tett modus operandi til Sandworm (APT44), kjent for å bruke hacktivist-tema Telegram-kanaler som XakNet Team, CyberArmyofRussia_Reborn og Solntsepek.

En spennende åpenbaring er at Void Manticore ser ut til å delegere kontroll over kompromittert infrastruktur til Scarred Manticore i visse tilfeller. Scarred Manticore spesialiserer seg på å etablere innledende tilgang, ofte utnytte sårbarheter som Microsoft Sharepoint CVE-2019-0604-feilen, utføre SMB-sidebevegelser og høste e-poster. Når de er infiltrert, blir disse organisasjonene sendt videre til Void Manticore for nyttelastinjeksjon, ytterligere sideveis bevegelse i nettverket og utplassering av dataslettemekanismer.

BiBi Wiper fortsetter å utvikle sine destruktive evner

Void Manticore bruker en rekke verktøy for sine destruktive aktiviteter, inkludert web-skall, manuelle slettingsverktøy, tilpassede vindusviskere og legitimasjonsverifiseringsverktøy.

De siste iterasjonene av BiBi Wiper malware tukler med ikke-systemfiler ved å erstatte dem med tilfeldige data og legge til en tilfeldig generert utvidelse som inneholder 'BiBi'-identifikatoren. BiBi manifesterer seg i både Linux- og Windows-varianter, hver med distinkte egenskaper og operasjonelle nyanser.

I Linux-miljøer starter BiBi flere tråder som tilsvarer de tilgjengelige CPU-kjernene for å fremskynde tørkeprosessen. Omvendt ekskluderer Windows-versjonen av BiBi .sys-, .exe- og .dll-filer for å forhindre at systemet blir uoppstartbart.

I motsetning til tidligere iterasjoner, er de oppdaterte variantene utelukkende rettet mot israelske systemer og avstår fra å slette skyggekopier eller deaktivere systemets feilgjenopprettingsskjerm. Imidlertid eliminerer de nå partisjonsinformasjon fra disken, noe som øker utfordringen med datagjenoppretting.

Partisjonsviskerne fokuserer spesifikt på systemets partisjonstabell, noe som gjør diskoppsettet uopprettelig. Dette kompliserer arbeidet med å gjenopprette data og forsterker omfanget av skaden som er påført. Ofre møter ofte en blåskjerm (BSOD) eller systemkrasj ved omstart, da disse viskerne påvirker både Master Boot Record (MBR) og GUID Partition Table (GPT) partisjoner.