BiBi-Linux Wiper Malware

En hacktivistgrupp som stödjer Hamas har identifierats med hjälp av en ny Linux-baserad torkarskadlig kod som heter BiBi-Linux Wiper. Denna skadliga programvara är specifikt riktad mot israeliska organisationer under den pågående konflikten mellan Israel och Hamas.

BiBi-Linux Wiper är designad som en x64 ELF-körbar och använder inte förvirring eller skyddsåtgärder. Denna skadliga programvara tillåter angripare att ange målmappar och, om den körs med rotbehörigheter, har den potential att göra ett helt operativsystem obrukbart.

Andra funktioner upptäckta i BiBi-Linux Wiper Malware

Bland dess olika funktioner använder den skadliga programvaran multithreading för att korrupta filer samtidigt, vilket ökar dess hastighet och räckvidd. Den åstadkommer detta genom att skriva över filer och byta namn på dem med en specifik hårdkodad sträng 'BiBi' i formatet '[RANDOM_NAME].BiBi[NUMBER]'. Dessutom kan det utesluta vissa filtyper från att skadas.

Denna destruktiva skadliga programvara, utvecklad med C/C++, har en filstorlek på 1,2 MB. Det ger hotaktören möjligheten att specificera målmappar med hjälp av kommandoradsparametrar, med standardvalet rotkatalogen ('/') om ingen specifik sökväg tillhandahålls. Men att utföra åtgärder på den här nivån kräver root-behörigheter.

Noterbart är att BiBi-Linux Wiper använder "nohup"-kommandot under körning för att säkerställa att den fungerar smidigt i bakgrunden. Vissa filtyper är undantagna från att skrivas över, till exempel de med tilläggen .out eller .so. Detta undantag är viktigt eftersom hotet förlitar sig på filer som bibi-linux.out och nohup.out för dess drift, förutom delade bibliotek som är avgörande för Unix/Linux-operativsystemet (.so-filer).

Hackare fokuserar sina aktiviteter på högprofilerade mål i Mellanöstern

Forskare tror att den misstänkta Hamas-anslutna hotaktören, känd under flera namn, inklusive Arid Viper (även kallad APT-C-23, Desert Falcon, Gaza Cyber Gang och Molerats), sannolikt fungerar som två distinkta undergrupper. Var och en av dessa undergrupper är främst inriktade på att bedriva cyberspionage som riktar sig antingen mot Israel eller Palestina.

The Arid Viper ägnar sig vanligtvis åt att rikta in sig på individer, inklusive förutvalda högprofilerade individer från både palestinsk och israelisk bakgrund. De riktar sig också till bredare grupper, särskilt inom kritiska sektorer som försvar och statliga organisationer, brottsbekämpning, såväl som politiska partier och rörelser.

För att uppnå sina mål använder Arid Viper olika attackkedjor. Dessa kedjor börjar ofta med social ingenjörskonst och nätfiskeattacker som initiala intrångsmetoder, vilket gör det möjligt för dem att distribuera ett brett utbud av anpassad skadlig programvara designad för att spionera på sina offer. Denna skadliga arsenal ger hotaktören en mångsidig uppsättning spionerifunktioner, inklusive ljudinspelning via mikrofonen, möjligheten att upptäcka och exfiltrera filer från insatta flashenheter och stöld av sparade webbläsaruppgifter.