บีบี ไวเปอร์
มัลแวร์ BiBi Wiper รูปแบบใหม่ถูกตรวจพบโดยกำหนดเป้าหมายไปที่ตารางพาร์ติชันของดิสก์ ทำให้การกู้คืนข้อมูลซับซ้อนขึ้น และขยายเวลาหยุดทำงานสำหรับเหยื่อ การโจมตีโดยใช้ BiBi Wiper ในอิสราเอลและแอลเบเนียถูกติดตามไปยังกลุ่มแฮ็กเกอร์ชาวอิหร่านที่น่าสงสัยที่รู้จักกันในชื่อ Void Manticore (Storm-842) ซึ่งเชื่อกันว่ามีความเกี่ยวข้องกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS)
นักวิจัยระบุ BiBi Wiper เป็นครั้งแรกในเดือนตุลาคม พ.ศ. 2566 ซึ่งทำให้ CERT ของอิสราเอลออกคำเตือนในเดือนพฤศจิกายน พ.ศ. 2566 เกี่ยวกับการโจมตีทางไซเบอร์อย่างกว้างขวางต่อองค์กรสำคัญ ๆ ในประเทศ รายงานล่าสุดได้เปิดเผย BiBi Wiper เวอร์ชันใหม่พร้อมกับที่ปัดน้ำฝนแบบกำหนดเองอีกสองรายการ ได้แก่ Cl Wiper และ Partition Wiper ซึ่งใช้งานโดยกลุ่มภัยคุกคามเดียวกัน
อาชญากรไซเบอร์ Void Manticore อาจซ่อนตัวอยู่หลังตัวตนปลอม
เป็นที่สงสัยว่า Void Manticore ทำงานภายใต้หน้ากากของกลุ่มแฮกเกอร์ Karma บน Telegram ซึ่งเกิดขึ้นหลังจากการโจมตีของกลุ่มฮามาสในอิสราเอลในเดือนตุลาคม Karma รับผิดชอบต่อการโจมตีหน่วยงานชาวอิสราเอลมากกว่า 40 แห่ง โดยใช้ Telegram เพื่อแสดงข้อมูลที่รวบรวมมาหรือหลักฐานของไดรฟ์ที่ถูกล้างข้อมูล เพื่อขยายผลกระทบของกิจกรรมของพวกเขา ปฏิบัติการของแอลเบเนียเกี่ยวข้องกับบุคคลที่รู้จักในชื่อ Homeland Justice และไฟล์ที่ถูกขโมยบางส่วนก็รั่วไหลบน Telegram
กลยุทธ์นี้สะท้อนวิธีการทำงานของ Sandworm (APT44) อย่างใกล้ชิด ซึ่งเป็นที่รู้จักในการใช้ช่องทาง Telegram ธีมแฮ็กทิวิสต์ เช่น ทีม XakNet, CyberArmyofRussia_Reborn และ Solntsepek
การเปิดเผยที่น่าสนใจก็คือ Void Manticore ดูเหมือนว่าจะมอบหมายการควบคุมโครงสร้างพื้นฐานที่ถูกบุกรุกให้กับ Scarred Manticore ในบางกรณี Scarred Manticore เชี่ยวชาญในการสร้างการเข้าถึงเบื้องต้น โดยมักจะใช้ประโยชน์จากช่องโหว่เช่นข้อบกพร่องของ Microsoft Sharepoint CVE-2019-0604 การดำเนินการเคลื่อนไหวด้านข้างของ SMB และการเก็บเกี่ยวอีเมล เมื่อถูกแทรกซึม องค์กรเหล่านี้จะถูกส่งไปยัง Void Manticore เพื่อฉีดเพย์โหลด การเคลื่อนไหวด้านข้างเพิ่มเติมภายในเครือข่าย และปรับใช้กลไกการลบข้อมูล
ที่ปัดน้ำฝน BiBi ยังคงพัฒนาความสามารถในการทำลายล้างอย่างต่อเนื่อง
Void Manticore ใช้เครื่องมือหลากหลายสำหรับกิจกรรมการทำลายล้าง รวมถึง Web Shell เครื่องมือลบด้วยตนเอง ที่ปัดน้ำฝนแบบกำหนดเอง และเครื่องมือตรวจสอบข้อมูลรับรอง
การทำซ้ำล่าสุดของมัลแวร์ BiBi Wiper จะเข้าไปยุ่งเกี่ยวกับไฟล์ที่ไม่ใช่ระบบโดยแทนที่ไฟล์เหล่านั้นด้วยข้อมูลแบบสุ่ม และต่อท้ายส่วนขยายที่สร้างแบบสุ่มซึ่งมีตัวระบุ 'BiBi' BiBi ปรากฏในทั้งรุ่น Linux และ Windows โดยแต่ละรุ่นมีลักษณะเฉพาะและความแตกต่างในการปฏิบัติงานที่แตกต่างกัน
ในสภาพแวดล้อม Linux BiBi จะเริ่มต้นเธรดหลายรายการที่สอดคล้องกับคอร์ CPU ที่มีอยู่เพื่อเร่งกระบวนการล้างข้อมูล ในทางกลับกัน BiBi เวอร์ชัน Windows จะไม่รวมไฟล์ .sys, .exe และ .dll เพื่อป้องกันไม่ให้ระบบไม่สามารถบูตได้
ตรงกันข้ามกับการทำซ้ำครั้งก่อน เวอร์ชันที่ได้รับการอัปเดตกำหนดเป้าหมายเฉพาะระบบของอิสราเอล และงดเว้นการลบ Shadow Copy หรือปิดใช้งานหน้าจอการกู้คืนข้อผิดพลาดของระบบ อย่างไรก็ตาม ตอนนี้พวกเขากำจัดข้อมูลพาร์ติชั่นออกจากดิสก์ ซึ่งทำให้การกู้คืนข้อมูลมีความท้าทายมากขึ้น
Partition Wipers มุ่งเน้นไปที่ตารางพาร์ติชันของระบบโดยเฉพาะ ซึ่งทำให้เค้าโครงดิสก์ไม่สามารถกู้คืนได้ สิ่งนี้ทำให้ความพยายามในการกู้คืนข้อมูลมีความซับซ้อนและขยายขอบเขตความเสียหายที่เกิดขึ้น ผู้ที่ตกเป็นเหยื่อมักจะพบกับหน้าจอสีน้ำเงินแห่งความตาย (BSOD) หรือระบบล่มเมื่อรีบูต เนื่องจากที่ปัดน้ำฝนเหล่านี้ส่งผลกระทบต่อทั้งพาร์ติชั่น Master Boot Record (MBR) และ GUID Partition Table (GPT)
