Cần gạt nước BiBi

Một biến thể mới của phần mềm độc hại BiBi Wiper đã được phát hiện nhắm mục tiêu vào bảng phân vùng đĩa, làm phức tạp quá trình khôi phục dữ liệu và kéo dài thời gian ngừng hoạt động cho nạn nhân. Các cuộc tấn công sử dụng BiBi Wiper vào Israel và Albania đã được bắt nguồn từ một nhóm hack bị nghi ngờ ở Iran có tên là Void Manticore (Storm-842), được cho là có liên kết với Bộ Tình báo và An ninh Iran (MOIS).

Các nhà nghiên cứu lần đầu tiên xác định được BiBi Wiper vào tháng 10 năm 2023, khiến CERT của Israel đưa ra cảnh báo vào tháng 11 năm 2023 về các cuộc tấn công mạng quy mô lớn nhằm vào các tổ chức quan trọng ở nước này. Một báo cáo gần đây đã tiết lộ các phiên bản mới hơn của BiBi Wiper cùng với hai công cụ gạt nước tùy chỉnh khác là Cl Wiper và Wiper phân vùng, được sử dụng bởi cùng một nhóm đe dọa.

Tội phạm mạng Void Manticore có thể ẩn đằng sau các Persona giả mạo

Người ta nghi ngờ rằng Void Manticore hoạt động dưới vỏ bọc của nhóm hacktivism Karma trên Telegram, nổi lên sau cuộc tấn công của Hamas vào Israel vào tháng 10. Karma đã nhận trách nhiệm về các cuộc tấn công vào hơn 40 thực thể của Israel, sử dụng Telegram để hiển thị dữ liệu thu thập được hoặc bằng chứng về các ổ đĩa bị xóa, khuếch đại tác động của các hoạt động của họ. Các hoạt động của Albania có sự tham gia của một nhân vật được gọi là Công lý Nội địa và một số hồ sơ bị đánh cắp đã bị rò rỉ trên Telegram.

Chiến thuật này phản ánh chặt chẽ phương thức hoạt động của Sandworm (APT44), được biết đến với việc sử dụng các kênh Telegram có chủ đề hacktivist như Nhóm XakNet, CyberArmyofNga_Reborn và Solntsepek.

Một tiết lộ hấp dẫn là Void Manticore dường như ủy quyền kiểm soát cơ sở hạ tầng bị xâm phạm cho Scarred Manticore trong một số trường hợp nhất định. Scarred Manticore chuyên thiết lập quyền truy cập ban đầu, thường khai thác các lỗ hổng như lỗ hổng Microsoft Sharepoint CVE-2019-0604, tiến hành chuyển động ngang SMB và thu thập email. Sau khi bị xâm nhập, các tổ chức này sau đó được chuyển đến Void Manticore để chèn tải trọng, di chuyển tiếp theo trong mạng và triển khai các cơ chế xóa dữ liệu.

BiBi Wiper tiếp tục phát triển khả năng hủy diệt của nó

Void Manticore sử dụng nhiều công cụ cho các hoạt động phá hoại của nó, bao gồm Web shell, công cụ xóa thủ công, trình xóa tùy chỉnh và công cụ xác minh thông tin xác thực.

Các phiên bản mới nhất của phần mềm độc hại BiBi Wiper giả mạo các tệp không thuộc hệ thống bằng cách thay thế chúng bằng dữ liệu ngẫu nhiên và nối thêm tiện ích mở rộng được tạo ngẫu nhiên có chứa mã nhận dạng 'BiBi'. BiBi thể hiện ở cả hai biến thể Linux và Windows, mỗi biến thể có những đặc điểm và sắc thái hoạt động riêng biệt.

Trong môi trường Linux, BiBi khởi tạo nhiều luồng tương ứng với các lõi CPU có sẵn để đẩy nhanh quá trình xóa. Ngược lại, phiên bản Windows của BiBi loại trừ các tệp .sys, .exe và .dll để ngăn việc khiến hệ thống không thể khởi động được.

Ngược lại với các lần lặp trước, các biến thể cập nhật chỉ nhắm mục tiêu vào các hệ thống của Israel và không xóa các bản sao bóng hoặc vô hiệu hóa màn hình Khôi phục lỗi của hệ thống. Tuy nhiên, giờ đây chúng loại bỏ thông tin phân vùng khỏi đĩa, làm tăng thách thức trong việc khôi phục dữ liệu.

Trình xóa phân vùng tập trung đặc biệt vào bảng phân vùng của hệ thống, khiến bố cục đĩa không thể phục hồi được. Điều này làm phức tạp các nỗ lực khôi phục dữ liệu và khuếch đại mức độ thiệt hại gây ra. Nạn nhân thường gặp phải màn hình xanh chết chóc (BSOD) hoặc hệ thống gặp sự cố khi khởi động lại, vì những trình xóa này ảnh hưởng đến cả phân vùng Bản ghi khởi động chính (MBR) và Bảng phân vùng GUID (GPT).