BiBi-Linux Wiper 惡意軟體

已發現支援哈馬斯的駭客組織使用一種名為 BiBi-Linux Wiper 的新型基於 Linux 的擦除器惡意軟體。該惡意軟體專門針對以色列與哈馬斯之間持續衝突期間的以色列組織。

BiBi-Linux Wiper 被設計為 x64 ELF 可執行文件，不採用混淆或保護措施。該惡意軟體允許攻擊者指定目標資料夾，如果使用 root 權限執行，則有可能導致整個作業系統無法運作。

BiBi-Linux Wiper 惡意軟體中發現的其他功能

在其各種功能中，該惡意軟體利用多線程同時損壞文件，從而提高其速度和影響範圍。它透過覆蓋檔案並使用格式為「[RANDOM_NAME].BiBi[NUMBER]」的特定硬編碼字串「BiBi」重新命名它們來實現此目的。此外，它還可以排除某些文件類型被損壞。

這種破壞性惡意軟體使用 C/C++ 開發，檔案大小為 1.2 MB。它使威脅參與者能夠使用命令列參數指定目標資料夾，如果未提供特定路徑，則預設為根目錄（“/”）。但是，在此層級執行操作需要 root 權限。

值得注意的是，BiBi-Linux Wiper 在執行過程中使用了「nohup」指令，以確保其在背景順利運作。某些檔案類型不會被覆蓋，例如副檔名為 .out 或 .so 的檔案類型。此例外至關重要，因為除了對 Unix/Linux 作業系統至關重要的共用程式庫（.so 檔案）之外，威脅還依賴 bibi-linux.out 和 nohup.out 等檔案進行操作。

駭客將活動重點集中在中東的知名目標

研究人員認為，涉嫌與哈馬斯有關聯的威脅行為者有多個名稱，包括 Arid Viper（也稱為APT-C-23、 Desert Falcon、Gaza Cyber Gang 和Molerats），很可能作為兩個不同的子組織運作。每個小組主要專注於針對以色列或巴勒斯坦進行網路間諜活動。

乾旱毒蛇通常會以個人為目標，包括預先選定的巴勒斯坦和以色列背景的知名人士。它們也針對更廣泛的群體，特別是國防和政府組織、執法以及政黨和運動等關鍵部門。

為了實現其目標，乾旱毒蛇採用了各種攻擊鏈。這些鏈通常以社會工程和網路釣魚攻擊作為初始入侵方法，使他們能夠部署各種旨在監視受害者的客製化惡意軟體。該惡意軟體庫為威脅行為者提供了多種間諜功能，包括透過麥克風進行錄音、從插入的隨身碟中偵測和竊取檔案的能力以及竊取已儲存的瀏覽器憑證。