BiBi-Linux Wiper 恶意软件

已发现支持哈马斯的黑客组织使用一种名为 BiBi-Linux Wiper 的新型基于 Linux 的擦除器恶意软件。该恶意软件专门针对以色列与哈马斯之间持续冲突期间的以色列组织。

BiBi-Linux Wiper 被设计为 x64 ELF 可执行文件，不采用混淆或保护措施。该恶意软件允许攻击者指定目标文件夹，如果使用 root 权限执行，则有可能导致整个操作系统无法运行。

BiBi-Linux Wiper 恶意软件中发现的其他功能

在其各种功能中，该恶意软件利用多线程同时损坏文件，从而提高其速度和影响范围。它通过覆盖文件并使用格式为“[RANDOM_NAME].BiBi[NUMBER]”的特定硬编码字符串“BiBi”重命名它们来实现此目的。此外，它还可以排除某些文件类型被损坏。

这种破坏性恶意软件使用 C/C++ 开发，文件大小为 1.2 MB。它使威胁参与者能够使用命令行参数指定目标文件夹，如果未提供特定路径，则默认选择为根目录（“/”）。但是，在此级别执行操作需要 root 权限。

值得注意的是，BiBi-Linux Wiper 在执行过程中使用了“nohup”命令，以确保其在后台顺利运行。某些文件类型不会被覆盖，例如扩展名为 .out 或 .so 的文件类型。此例外至关重要，因为除了对 Unix/Linux 操作系统至关重要的共享库（.so 文件）之外，威胁还依赖于 bibi-linux.out 和 nohup.out 等文件进行操作。

黑客将活动重点集中在中东的知名目标

研究人员认为，涉嫌与哈马斯有关联的威胁行为者有多个名称，包括 Arid Viper（也称为APT-C-23、 Desert Falcon、Gaza Cyber Gang 和 Molerats），很可能作为两个不同的子组织运作。每个小组主要专注于针对以色列或巴勒斯坦开展网络间谍活动。

干旱毒蛇通常会以个人为目标，包括预先选定的巴勒斯坦和以色列背景的知名人士。它们还针对更广泛的群体，特别是国防和政府组织、执法以及政党和运动等关键部门。

为了实现其目标，干旱毒蛇采用了各种攻击链。这些链通常以社会工程和网络钓鱼攻击作为初始入侵方法，使他们能够部署各种旨在监视受害者的定制恶意软件。该恶意软件库为威胁行为者提供了多种间谍功能，包括通过麦克风进行录音、从插入的闪存驱动器中检测和窃取文件的能力以及窃取已保存的浏览器凭据。