BiBi Silecek

BiBi Wiper kötü amaçlı yazılımının yeni bir çeşidinin disk bölümleme tablosunu hedef aldığı, veri kurtarmayı zorlaştırdığı ve kurbanlarının kapalı kalma süresini uzattığı gözlemlendi. İsrail ve Arnavutluk'a BiBi Wiper kullanılarak yapılan saldırıların, İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı olduğuna inanılan, Void Manticore (Storm-842) olarak bilinen şüpheli bir İranlı bilgisayar korsanlığı grubuna dayandığı belirlendi.

Araştırmacılar BiBi Wiper'ı ilk olarak Ekim 2023'te tespit etti ve bu da İsrail'in CERT'inin Kasım 2023'te ülkedeki kritik kuruluşlara yönelik kapsamlı siber saldırılar hakkında bir uyarı yayınlamasına yol açtı. Yakın zamanda yayınlanan bir rapor, BiBi Wiper'ın daha yeni versiyonlarının yanı sıra aynı tehdit grubu tarafından kullanılan diğer iki özel silecek olan Cl Wiper ve Partition Wiper'ı ortaya çıkardı.

Void Manticore Siber Suçluları Sahte Kişilerin Arkasına Saklanabilir

Void Manticore'un, Ekim ayında İsrail'e düzenlenen Hamas saldırısının ardından ortaya çıkan Telegram'daki Karma hacktivizm grubu kisvesi altında faaliyet gösterdiğinden şüpheleniliyor. Karma, Telegram'ı kullanarak toplanan verileri veya silinen disklerin kanıtlarını sergileyerek 40'tan fazla İsrail kuruluşuna yönelik saldırıların sorumluluğunu üstlendi ve faaliyetlerinin etkisini artırdı. Arnavutluk operasyonlarında Vatan Adaleti olarak bilinen bir kişi yer alıyordu ve çalınan dosyalardan bazıları Telegram'a sızdırılmıştı.

Bu taktik, XakNet Team, CyberArmyofRussia_Reborn ve Solntsepek gibi hacktivist temalı Telegram kanallarını kullanmasıyla bilinen Sandworm'un (APT44) işleyiş tarzını yakından yansıtıyor.

İlginç bir açıklama, Void Manticore'un belirli durumlarda ele geçirilen altyapının kontrolünü Scarred Manticore'a devretmiş gibi görünmesidir. Scarred Manticore, ilk erişimi oluşturma, genellikle Microsoft Sharepoint CVE-2019-0604 kusuru gibi güvenlik açıklarından yararlanma, SMB yanal hareketini yürütme ve e-postaları toplama konusunda uzmanlaşmıştır. Bu kuruluşlara sızıldıktan sonra yük enjeksiyonu, ağ içinde daha fazla yatay hareket ve veri silme mekanizmalarının devreye alınması için Void Manticore'a aktarılır.

BiBi Silecek Yıkıcı Yeteneklerini Geliştirmeye Devam Ediyor

Void Manticore, yıkıcı faaliyetleri için Web kabukları, manuel silme araçları, özel siliciler ve kimlik doğrulama araçları dahil olmak üzere bir dizi araç kullanır.

BiBi Wiper kötü amaçlı yazılımının en son yinelemeleri, sistem dışı dosyaları rastgele verilerle değiştirerek ve 'BiBi' tanımlayıcısını içeren rastgele oluşturulmuş bir uzantı ekleyerek bunlara müdahale ediyor. BiBi, her biri farklı özelliklere ve operasyonel nüanslara sahip olan hem Linux hem de Windows varyantlarında kendini gösterir.

Linux ortamlarında BiBi, silme işlemini hızlandırmak için mevcut CPU çekirdeklerine karşılık gelen birden fazla iş parçacığı başlatır. Tersine, BiBi'nin Windows sürümü, sistemin önyüklenemez duruma gelmesini önlemek için .sys, .exe ve .dll dosyalarını hariç tutar.

Önceki yinelemelerin aksine, güncellenen varyantlar yalnızca İsrail sistemlerini hedef alıyor ve gölge kopyaları silmekten veya sistemin Hata Kurtarma ekranını devre dışı bırakmaktan kaçınıyor. Ancak artık diskteki bölüm bilgilerini ortadan kaldırarak veri kurtarma zorluğunu artırıyorlar.

Bölüm Silecekleri özellikle sistemin bölüm tablosuna odaklanarak disk düzenini geri alınamaz hale getirir. Bu, verileri geri yükleme çabalarını karmaşıklaştırır ve verilen hasarın boyutunu artırır. Bu silecekler hem Ana Önyükleme Kaydı (MBR) hem de GUID Bölümleme Tablosu (GPT) bölümlerini etkilediğinden, kurbanlar genellikle mavi bir ölüm ekranıyla (BSOD) veya yeniden başlatma sırasında sistem çökmeleriyle karşılaşır.