BiBi Wiper

En ny variant av BiBi Wiper skadlig programvara har observerats riktad mot diskpartitionstabellen, vilket komplicerar dataåterställning och förlänger stilleståndstiden för dess offer. Attacker med BiBi Wiper mot Israel och Albanien har spårats till en misstänkt iransk hackergrupp känd som Void Manticore (Storm-842), som tros vara knuten till Irans underrättelse- och säkerhetsministerium (MOIS).

Forskare identifierade BiBi Wiper första gången i oktober 2023, vilket ledde till att Israels CERT utfärdade en varning i november 2023 om omfattande cyberattacker mot kritiska organisationer i landet. En färsk rapport har avslöjat nyare versioner av BiBi Wiper tillsammans med två andra anpassade torkare, Cl Wiper och Partition Wiper, som används av samma hotgrupp.

The Void Manticore cyberkriminella kan gömma sig bakom falska personas

Det misstänks att Void Manticore verkar under sken av Karma-hacktivismgruppen på Telegram, som dyker upp i kölvattnet av Hamas-attacken mot Israel i oktober. Karma har tagit ansvar för attacker mot mer än 40 israeliska enheter och använder Telegram för att visa upp insamlad data eller bevis på utplånade enheter, vilket förstärker effekten av deras aktiviteter. De albanska operationerna involverade en persona känd som Homeland Justice, och några av de snattade filerna läckte ut på Telegram.

Denna taktik återspeglar nära tillvägagångssättet för Sandworm (APT44), känd för att använda telegramkanaler med hacktivisttema som XakNet Team, CyberArmyofRussia_Reborn och Solntsepek.

En spännande uppenbarelse är att Void Manticore verkar delegera kontrollen över komprometterad infrastruktur till Scarred Manticore i vissa fall. Scarred Manticore specialiserar sig på att etablera initial åtkomst, ofta utnyttja sårbarheter som Microsoft Sharepoint CVE-2019-0604-felet, genomföra SMB-rörelser i sidled och samla in e-postmeddelanden. När de väl har infiltrerats skickas dessa organisationer till Void Manticore för injicering av nyttolast, ytterligare sidorörelse inom nätverket och utplacering av mekanismer för att torka data.

BiBi Wiper fortsätter att utveckla sina destruktiva egenskaper

Void Manticore använder en rad verktyg för sina destruktiva aktiviteter, inklusive webbskal, verktyg för manuell radering, anpassade torkare och verifieringsverktyg för autentiseringsuppgifter.

De senaste iterationerna av BiBi Wiper skadlig programvara manipulerar icke-systemfiler genom att ersätta dem med slumpmässiga data och lägga till ett slumpmässigt genererat tillägg som innehåller "BiBi"-identifieraren. BiBi manifesteras i både Linux- och Windows-varianter, var och en med distinkta egenskaper och operativa nyanser.

I Linux-miljöer initierar BiBi flera trådar som motsvarar de tillgängliga CPU-kärnorna för att påskynda rensningsprocessen. Omvänt utesluter Windows-versionen av BiBi .sys-, .exe- och .dll-filer för att förhindra att systemet blir ostartbart.

I motsats till tidigare iterationer riktar sig de uppdaterade varianterna uteslutande till israeliska system och avstår från att radera skuggkopior eller inaktivera systemets felåterställningsskärm. Men de eliminerar nu partitionsinformation från disken, vilket ökar utmaningen med dataåterställning.

Partitionstorkarna fokuserar specifikt på systemets partitionstabell, vilket gör disklayouten oåterkallelig. Detta komplicerar ansträngningarna att återställa data och förstärker omfattningen av skadan. Offer stöter ofta på en blå skärm av döden (BSOD) eller systemkraschar vid omstart, eftersom dessa torkare påverkar både Master Boot Record (MBR) och GUID Partition Table (GPT) partitioner.