Склоочисник BiBi

Було виявлено, що новий варіант шкідливого програмного забезпечення BiBi Wiper націлений на таблицю розділів диска, що ускладнює відновлення даних і подовжує час простою жертв. Атаки з використанням BiBi Wiper на Ізраїль та Албанію були пов’язані з ймовірною іранською хакерською групою, відомою як Void Manticore (Storm-842), яка, як вважають, пов’язана з Міністерством розвідки та безпеки Ірану (MOIS).

Дослідники вперше ідентифікували BiBi Wiper у жовтні 2023 року, що змусило ізраїльський CERT у листопаді 2023 року попередити про масові кібератаки на критично важливі організації в країні. У нещодавньому звіті було виявлено нові версії BiBi Wiper разом із двома іншими спеціальними wiperами, Cl Wiper і Partition Wiper, які використовуються тією ж групою загроз.

Кіберзлочинці Void Manticore можуть ховатися за підробленими персонами

Є підозри, що Void Manticore діє під прикриттям групи хактивізму Karma у Telegram, яка з’явилася після нападу ХАМАС на Ізраїль у жовтні. Karma взяла на себе відповідальність за атаки на понад 40 ізраїльських організацій, використовуючи Telegram для демонстрації зібраних даних або доказів стертих дисків, посилюючи вплив їхньої діяльності. В албанських операціях була задіяна особа, відома як Homeland Justice, і деякі з вкрадених файлів просочилися в Telegram.

Ця тактика точно відображає принципи роботи Sandworm (APT44), відомого використанням каналів Telegram із хакерською тематикою, таких як XakNet Team, CyberArmyofRussia_Reborn і Solntsepek.

Інтригуючим відкриттям є те, що Мантікора Порожнечі, схоже, у певних випадках делегує контроль над скомпрометованою інфраструктурою Мантікоре зі Шрамами. Scarred Manticore спеціалізується на встановленні початкового доступу, часто використовуючи вразливості, такі як помилка Microsoft Sharepoint CVE-2019-0604, здійснюючи бічні переміщення SMB і збираючи електронні листи. Після проникнення ці організації потім передаються до Мантікори Порожнечі для введення корисного навантаження, подальшого бокового переміщення в мережі та розгортання механізмів видалення даних.

BiBi Wiper продовжує розвивати свої руйнівні можливості

Мантікора Порожнечі використовує низку інструментів для своєї деструктивної діяльності, включаючи веб-оболонки, інструменти ручного видалення, спеціальні очищувачі та інструменти перевірки облікових даних.

Останні ітерації зловмисного програмного забезпечення BiBi Wiper втручаються в несистемні файли, замінюючи їх випадковими даними та додаючи випадково згенероване розширення, що містить ідентифікатор BiBi. BiBi проявляється як у версіях Linux, так і у Windows, кожна з яких має відмінні характеристики та операційні нюанси.

У середовищах Linux BiBi ініціює кілька потоків, що відповідають доступним ядрам ЦП, щоб прискорити процес очищення. І навпаки, версія BiBi для Windows виключає файли .sys, .exe та .dll, щоб запобігти тому, що система не завантажується.

На відміну від попередніх ітерацій, оновлені варіанти націлені виключно на ізраїльські системи та утримуються від стирання тіньових копій або відключення екрану відновлення системи після помилок. Однак тепер вони видаляють інформацію про розділи диска, що ускладнює відновлення даних.

Partition Wipers зосереджуються саме на системній таблиці розділів, роблячи макет диска непоправним. Це ускладнює спроби відновлення даних і збільшує масштаб завданої шкоди. Жертви часто стикаються з синім екраном смерті (BSOD) або збоями системи під час перезавантаження, оскільки ці очищувачі впливають як на головний завантажувальний запис (MBR), так і на розділи таблиці розділів GUID (GPT).