BiBi 雨刮器

研究人员发现，BiBi Wiper 恶意软件的新变种以磁盘分区表为目标，使数据恢复变得复杂，并延长了受害者的停机时间。利用 BiBi Wiper 对以色列和阿尔巴尼亚发动的攻击已被追溯到一个名为 Void Manticore (Storm-842) 的疑似伊朗黑客组织，据信该组织与伊朗情报和安全部 (MOIS) 有关联。

研究人员于 2023 年 10 月首次发现 BiBi Wiper，这促使以色列 CERT 于 2023 年 11 月发出警告，称该国关键组织遭受了大规模网络攻击。最近的一份报告揭示了 BiBi Wiper 的更新版本以及同一威胁组织使用的另外两个自定义擦除器 Cl Wiper 和 Partition Wiper。

Void Manticore 网络犯罪分子可能隐藏在虚假身份背后

有人怀疑 Void Manticore 以 Telegram 上的 Karma 黑客行动主义组织的名义进行活动，该组织是在 10 月哈马斯袭击以色列之后出现的。Karma 已对 40 多个以色列实体发动攻击，他们使用 Telegram 展示收集的数据或擦除驱动器的证据，从而扩大了其活动的影响。阿尔巴尼亚行动涉及一个名为“国土正义”的人物，一些被盗文件已在 Telegram 上泄露。

这种策略与Sandworm (APT44) 的运作方式非常相似，该组织以利用黑客主义主题的 Telegram 频道（例如 XakNet Team、CyberArmyofRussia_Reborn 和 Solntsepek）而闻名。

一个有趣的发现是，在某些情况下，Void Manticore 似乎将受感染基础设施的控制权委托给 Scarred Manticore。Scarred Manticore 擅长建立初始访问权限，通常利用 Microsoft Sharepoint CVE-2019-0604 漏洞等漏洞、进行 SMB 横向移动和收集电子邮件。一旦渗透，这些组织就会被传递给 Void Manticore 进行有效载荷注入、在网络内进一步横向移动以及部署数据擦除机制。

BiBi Wiper 继续增强其破坏能力

Void Manticore 使用一系列工具进行破坏活动，包括 Web shell、手动删除工具、自定义擦除器和凭证验证工具。

BiBi Wiper 恶意软件的最新版本会篡改非系统文件，方法是用随机数据替换它们，并附加一个包含“BiBi”标识符的随机生成的扩展名。BiBi 有 Linux 和 Windows 两种变体，每种变体都有不同的特征和操作细微差别。

在 Linux 环境中，BiBi 会启动与可用 CPU 核心相对应的多个线程来加快擦除过程。相反，Windows 版本的 BiBi 会排除 .sys、.exe 和 .dll 文件，以防止导致系统无法启动。

与之前的版本相比，更新后的变种专门针对以色列系统，不会删除影子副本或禁用系统的错误恢复屏幕。但是，它们现在会从磁盘中删除分区信息，这增加了数据恢复的难度。

分区擦除器专门针对系统的分区表，导致磁盘布局无法恢复。这会使恢复数据的工作变得复杂，并扩大了造成的损害程度。受害者经常会在重启时遇到蓝屏死机 (BSOD) 或系统崩溃，因为这些擦除器会影响主引导记录 (MBR) 和 GUID 分区表 (GPT) 分区。