BiBi Wiper

Isang bagong variant ng BiBi Wiper malware ang naobserbahang nagta-target sa disk partition table, nagpapalubha ng data restoration at nagpapahaba ng downtime para sa mga biktima nito. Ang mga pag-atake gamit ang BiBi Wiper sa Israel at Albania ay natunton sa pinaghihinalaang Iranian hacking group na kilala bilang Void Manticore (Storm-842), na pinaniniwalaang kaakibat ng Iran's Ministry of Intelligence and Security (MOIS).

Una nang natukoy ng mga mananaliksik ang BiBi Wiper noong Oktubre 2023, na humantong sa CERT ng Israel na maglabas ng babala noong Nobyembre 2023 tungkol sa malawak na cyberattack laban sa mga kritikal na organisasyon sa bansa. Ang isang kamakailang ulat ay nagsiwalat ng mga mas bagong bersyon ng BiBi Wiper kasama ang dalawa pang custom na wiper, Cl Wiper at Partition Wiper, na ginagamit ng parehong grupo ng pagbabanta.

Maaaring Magtago ang Void Manticore Cybercriminals sa Likod ng Mga Pekeng Persona

Pinaghihinalaan na ang Void Manticore ay nagpapatakbo sa ilalim ng pagkukunwari ng Karma hacktivism group sa Telegram, na umuusbong pagkatapos ng pag-atake ng Hamas sa Israel noong Oktubre. Inako ng Karma ang pananagutan para sa mga pag-atake sa higit sa 40 mga entidad ng Israel, gamit ang Telegram upang ipakita ang mga na-harvest na data o ebidensya ng mga wiped drive, na nagpapalaki sa epekto ng kanilang mga aktibidad. Ang mga operasyon ng Albanian ay kinasasangkutan ng isang persona na kilala bilang Homeland Justice, at ang ilan sa mga ninakaw na file ay na-leak sa Telegram.

Ang taktikang ito ay malapit na sumasalamin sa modus operandi ng Sandworm (APT44), na kilala sa paggamit ng mga channel na Telegram na may temang hacktivist gaya ng XakNet Team, CyberArmyofRussia_Reborn at Solntsepek.

Ang isang nakakaintriga na paghahayag ay ang Void Manticore ay tila nagtalaga ng kontrol ng nakompromisong imprastraktura sa Scarred Manticore sa ilang partikular na kaso. Ang Scarred Manticore ay dalubhasa sa pagtatatag ng paunang pag-access, kadalasang sinasamantala ang mga kahinaan tulad ng Microsoft Sharepoint CVE-2019-0604 flaw, pagsasagawa ng SMB lateral movement, at pag-aani ng mga email. Kapag na-infiltrate na, ang mga organisasyong ito ay ipapasa sa Void Manticore para sa pag-iniksyon ng payload, karagdagang lateral na paggalaw sa loob ng network, at ang pag-deploy ng mga mekanismo ng pagpupunas ng data.

Ang BiBi Wiper ay Patuloy na Nagbabago sa Mga Mapanirang Kakayahan Nito

Gumagamit ang Void Manticore ng isang hanay ng mga tool para sa mga mapanirang aktibidad nito, kabilang ang mga Web shell, manual na tool sa pagtanggal, custom na wiper at mga tool sa pag-verify ng kredensyal.

Ang pinakabagong mga pag-ulit ng BiBi Wiper malware na pakialaman ang mga non-system na file sa pamamagitan ng pagpapalit sa mga ito ng random na data at pagdaragdag ng random na nabuong extension na naglalaman ng 'BiBi' identifier. Nagpapakita ang BiBi sa parehong mga variant ng Linux at Windows, bawat isa ay may natatanging katangian at mga nuances sa pagpapatakbo.

Sa mga kapaligiran ng Linux, sinisimulan ng BiBi ang maraming thread na tumutugma sa mga available na CPU core para mapabilis ang proseso ng pag-wipe. Sa kabaligtaran, ang bersyon ng Windows ng BiBi ay nagbubukod ng mga .sys, .exe, at .dll na mga file upang maiwasang ma-unbootable ang system.

Kabaligtaran sa mga nakaraang pag-ulit, ang mga na-update na variant ay eksklusibong nagta-target ng mga Israeli system at umiiwas sa pagbubura ng mga shadow copy o hindi pagpapagana sa screen ng Error Recovery ng system. Gayunpaman, inaalis na nila ngayon ang impormasyon ng partition mula sa disk, na nagpapataas ng hamon sa pagbawi ng data.

Ang Partition Wiper ay partikular na nakatutok sa partition table ng system, na ginagawang hindi na mababawi ang layout ng disk. Pinapalubha nito ang mga pagsusumikap na maibalik ang data at pinapalaki ang lawak ng pinsalang naidulot. Ang mga biktima ay madalas na nakakaranas ng isang asul na screen ng kamatayan (BSOD) o mga pag-crash ng system sa pag-reboot, dahil ang mga wiper na ito ay nakakaapekto sa parehong mga partisyon ng Master Boot Record (MBR) at GUID Partition Table (GPT).