БиБи Стеклоочиститель

Обнаружен новый вариант вредоносного ПО BiBi Wiper, нацеленный на таблицу разделов диска, что усложняет восстановление данных и продлевает время простоя для своих жертв. Атаки с использованием BiBi Wiper на Израиль и Албанию были связаны с предполагаемой иранской хакерской группой, известной как Void Manticore (Storm-842), предположительно связанной с Министерством разведки и безопасности Ирана (MOIS).

Исследователи впервые обнаружили BiBi Wiper в октябре 2023 года, что побудило израильский CERT в ноябре 2023 года выпустить предупреждение о масштабных кибератаках на критически важные организации в стране. В недавнем отчете были обнаружены новые версии BiBi Wiper, а также два других специальных дворника, Cl Wiper и Partition Wiper, используемые той же группой угроз.

Киберпреступники Пустоты Мантикоры могут скрываться за фейковыми личностями

Есть подозрение, что Void Manticore действует под видом хактивистской группы Karma в Telegram, возникшей после нападения ХАМАС на Израиль в октябре. Карма взяла на себя ответственность за атаки на более чем 40 израильских организаций, используя Telegram для демонстрации собранных данных или доказательств стертых дисков, усиливая последствия своей деятельности. В албанских операциях участвовал человек, известный как «Национальное правосудие», и некоторые из украденных файлов были опубликованы в Telegram.

Эта тактика близко отражает образ действий Sandworm (APT44), известного тем, что использует каналы Telegram на хактивистскую тематику, такие как XakNet Team, CyberArmyofrussia_Reborn и Solntsepek.

Интригующим открытием является то, что Пустотная Мантикора, похоже, в некоторых случаях делегирует контроль над взломанной инфраструктурой Шрамированной Мантикоре. Scarred Manticore специализируется на обеспечении первоначального доступа, часто используя такие уязвимости, как Microsoft Sharepoint CVE-2019-0604, осуществляя горизонтальное перемещение SMB и собирая электронную почту. После проникновения эти организации затем передаются в Пустоту Мантикоры для внедрения полезной нагрузки, дальнейшего перемещения внутри сети и развертывания механизмов стирания данных.

BiBi Wiper продолжает развивать свои разрушительные возможности

Для своей деструктивной деятельности Void Manticore использует ряд инструментов, включая веб-оболочки, инструменты ручного удаления, специальные очистители и инструменты проверки учетных данных.

Последние версии вредоносного ПО BiBi Wiper подделывают несистемные файлы, заменяя их случайными данными и добавляя случайно сгенерированное расширение, содержащее идентификатор «BiBi». BiBi присутствует как в вариантах Linux, так и в Windows, каждый из которых имеет свои особенности и нюансы работы.

В средах Linux BiBi инициирует несколько потоков, соответствующих доступным ядрам ЦП, чтобы ускорить процесс очистки. И наоборот, версия BiBi для Windows исключает файлы .sys, .exe и .dll, чтобы предотвратить невозможность загрузки системы.

В отличие от предыдущих итераций, обновленные варианты нацелены исключительно на израильские системы и воздерживаются от стирания теневых копий или отключения экрана восстановления ошибок системы. Однако теперь они удаляют информацию о разделах с диска, что усложняет восстановление данных.

Очистители разделов фокусируются исключительно на таблице разделов системы, делая невозможным восстановление структуры диска. Это усложняет усилия по восстановлению данных и увеличивает масштаб нанесенного ущерба. Жертвы часто сталкиваются с синим экраном смерти (BSOD) или сбоем системы при перезагрузке, поскольку эти очистители влияют как на разделы основной загрузочной записи (MBR), так и на разделы таблицы разделов GUID (GPT).