Вредоносное ПО BiBi-Linux Wiper

Группа хактивистов, поддерживающая ХАМАС, была выявлена с помощью новой вредоносной программы Wiper на базе Linux под названием BiBi-Linux Wiper. Это вредоносное программное обеспечение специально нацелено на израильские организации во время продолжающегося конфликта между Израилем и ХАМАС.

BiBi-Linux Wiper разработан как исполняемый файл ELF x64 и не использует запутывающие или защитные меры. Это вредоносное ПО позволяет злоумышленникам назначать целевые папки и, если оно выполняется с правами root, может вывести из строя всю операционную систему.

Другие функции, обнаруженные во вредоносном ПО BiBi-Linux Wiper

Помимо различных возможностей, вредоносная программа использует многопоточность для одновременного повреждения файлов, тем самым увеличивая свою скорость и охват. Это достигается путем перезаписи файлов и переименования их с использованием определенной жестко запрограммированной строки «BiBi» в формате «[RANDOM_NAME].BiBi[NUMBER]». Кроме того, он может исключить повреждение определенных типов файлов.

Это разрушительное вредоносное ПО, разработанное с использованием C/C++, имеет размер файла 1,2 МБ. Он предоставляет злоумышленнику возможность указывать целевые папки с помощью параметров командной строки, причем по умолчанию используется корневой каталог («/»), если конкретный путь не указан. Однако для выполнения действий на этом уровне необходимы права root.

Примечательно, что BiBi-Linux Wiper использует команду nohup во время выполнения, чтобы обеспечить бесперебойную работу в фоновом режиме. Определенные типы файлов, например файлы с расширениями .out или .so, не перезаписываются. Это исключение важно, поскольку в своей работе угроза использует такие файлы, как bibi-linux.out и nohup.out, а также общие библиотеки, необходимые для операционной системы Unix/Linux (файлы .so).

Хакеры сосредоточивают свою деятельность на громких целях на Ближнем Востоке

Исследователи полагают, что предполагаемый связанный с ХАМАСом злоумышленник, известный под несколькими именами, включая Arid Viper (также известный как APT-C-23, Desert Falcon, Gaza Cyber Gang и Molerats), вероятно, действует как две отдельные подгруппы. Каждая из этих подгрупп в первую очередь сосредоточена на проведении кибершпионажной деятельности, нацеленной либо на Израиль, либо на Палестину.

«Арид Гадюка» обычно занимается преследованием отдельных лиц, в том числе заранее отобранных высокопоставленных лиц как палестинского, так и израильского происхождения. Они также нацелены на более широкие группы, особенно в критически важных секторах, таких как оборонные и правительственные организации, правоохранительные органы, а также политические партии и движения.

Для достижения своих целей Arid Viper использует различные цепочки атак. Эти цепочки часто начинаются с социальной инженерии и фишинговых атак в качестве первоначальных методов вторжения, что позволяет им развертывать широкий спектр специального вредоносного ПО, предназначенного для слежки за своими жертвами. Этот арсенал вредоносного ПО предоставляет злоумышленнику разнообразный набор возможностей шпионажа, включая запись звука через микрофон, возможность обнаруживать и удалять файлы со вставленных флэш-накопителей, а также кражу сохраненных учетных данных браузера.