BiBi वाइपर
BiBi वाइपर मालवेयरको नयाँ भेरियन्ट डिस्क विभाजन तालिकालाई लक्षित गर्दै, डाटा पुनर्स्थापनालाई जटिल बनाउँदै र यसका पीडितहरूका लागि डाउनटाइम विस्तार गर्ने अवलोकन गरिएको छ। इजरायल र अल्बानियामा BiBi वाइपर प्रयोग गरेर आक्रमणहरू भोइड म्यान्टिकोर (Storm-842) भनिने संदिग्ध इरानी ह्याकिङ समूहमा पत्ता लगाइएको छ, जुन इरानको गुप्तचर तथा सुरक्षा मन्त्रालय (MOIS) सँग सम्बद्ध रहेको विश्वास गरिन्छ।
अन्वेषकहरूले अक्टोबर २०२३ मा BiBi वाइपरलाई पहिलो पटक पहिचान गरेका थिए, जसले इजरायलको CERT ले नोभेम्बर २०२३ मा देशका महत्वपूर्ण संस्थाहरू विरुद्ध व्यापक साइबर हमला गर्ने चेतावनी जारी गरेको थियो। भर्खरैको रिपोर्टले BiBi वाइपरको नयाँ संस्करणहरू र दुई अन्य कस्टम वाइपरहरू, Cl वाइपर र पार्टीशन वाइपर, एउटै खतरा समूहले प्रयोग गरेको खुलासा गरेको छ।
शून्य म्यान्टिकोर साइबर अपराधीहरूले नक्कली व्यक्तिहरूको पछाडि लुकाउन सक्छन्
अक्टोबरमा इजरायलमा हमासको आक्रमणपछि देखा परेको टेलिग्राममा कर्मा ह्याक्टिविज्म समूहको आडमा भोइड म्यान्टिकोरले काम गरिरहेको आशंका गरिएको छ। कर्माले 40 भन्दा बढी इजरायली संस्थाहरूमा आक्रमणको जिम्मेवारी लिएको छ, टेलिग्राम प्रयोग गरेर कटाई गरिएको डाटा वा वाइप ड्राइभको प्रमाणहरू प्रदर्शन गर्न, तिनीहरूका गतिविधिहरूको प्रभावलाई विस्तार गर्दै। अल्बेनियाली अपरेसनहरूमा होमल्याण्ड जस्टिस भनेर चिनिने व्यक्तित्व समावेश थियो, र केही चोरी गरिएका फाइलहरू टेलिग्राममा लीक भएका थिए।
यस रणनीतिले स्यान्डवर्म (APT44) को मोडस अपरेन्डीलाई नजिकबाट प्रतिबिम्बित गर्दछ, XakNet Team, CyberArmyofRussia_Reborn र Solntsepek जस्ता ह्याक्टिविस्ट-थीमयुक्त टेलिग्राम च्यानलहरू प्रयोग गर्नका लागि परिचित छ।
एउटा चाखलाग्दो खुलासा यो हो कि शून्य म्यान्टिकोरले केहि केसहरूमा स्क्यार्ड म्यान्टिकोरलाई सम्झौता गरिएको पूर्वाधारको नियन्त्रण प्रत्यायोजन गरेको देखिन्छ। Scarred Manticore प्रारम्भिक पहुँच स्थापना गर्न माहिर छ, प्राय: Microsoft SharePoint CVE-2019-0604 त्रुटिहरू, SMB पार्श्व आन्दोलन सञ्चालन गर्ने, र इमेलहरू काट्ने जस्ता कमजोरीहरूको शोषण गर्दछ। एक पटक घुसपैठ गरिसकेपछि, यी संस्थाहरूलाई पेलोड इन्जेक्सन, नेटवर्क भित्र थप पार्श्व आन्दोलन, र डाटा-वाइपिङ मेकानिजमहरूको तैनातीका लागि भोइड म्यान्टिकोरमा पठाइन्छ।
BiBi वाइपरले यसको विनाशकारी क्षमताहरू विकास गर्न जारी राख्छ
Void Manticore ले वेब शेलहरू, म्यानुअल मेटाउने उपकरणहरू, अनुकूलन वाइपरहरू र प्रमाण प्रमाणिकरण उपकरणहरू सहित यसको विनाशकारी गतिविधिहरूको लागि उपकरणहरूको दायरा प्रयोग गर्दछ।
BiBi वाइपर मालवेयरको पछिल्लो पुनरावृत्तिहरूले गैर-प्रणाली फाइलहरूलाई अनियमित डेटाको साथ प्रतिस्थापन गरेर र 'BiBi' पहिचानकर्ता समावेश भएको अनियमित रूपमा उत्पन्न विस्तार जोडेर छेड्छ। BiBi दुबै लिनक्स र विन्डोज भेरियन्टहरूमा प्रकट हुन्छ, प्रत्येकमा फरक विशेषताहरू र परिचालन सूक्ष्मताहरू छन्।
लिनक्स वातावरणमा, BiBi ले वाइपिङ प्रक्रियालाई छिटो बनाउन उपलब्ध CPU कोरसँग मिल्दोजुल्दो धेरै थ्रेडहरू सुरु गर्छ। यसको विपरीत, BiBi को विन्डोज संस्करणले प्रणालीलाई अनबुट गर्न नदिन .sys, .exe र .dll फाइलहरू समावेश गर्दैन।
अघिल्लो पुनरावृत्तिको विपरित, अद्यावधिक गरिएको भेरियन्टहरूले विशेष रूपमा इजरायली प्रणालीहरूलाई लक्षित गर्दछ र छाया प्रतिलिपिहरू मेटाउन वा प्रणालीको त्रुटि रिकभरी स्क्रिन असक्षम गर्नबाट टाढा रहन्छ। यद्यपि, तिनीहरूले अब डिस्कबाट विभाजन जानकारी मेटाउँछन्, डाटा रिकभरीको चुनौती बढाउँदै।
विभाजन वाइपरहरूले विशेष रूपमा प्रणालीको विभाजन तालिकामा फोकस गर्दछ, डिस्क लेआउट अपरिवर्तनीय रेन्डर गर्दै। यसले डेटा पुनर्स्थापना गर्ने प्रयासहरूलाई जटिल बनाउँछ र क्षतिको मात्रा बढाउँछ। पीडितहरूले प्राय: नीलो स्क्रिन अफ डेथ (BSOD) वा रिबुट गर्दा प्रणाली क्र्यासको सामना गर्छन्, किनकि यी वाइपरहरूले मास्टर बुट रेकर्ड (MBR) र GUID विभाजन तालिका (GPT) विभाजनहरूलाई असर गर्छ।
