比比雨刷

據觀察，BiBi Wiper 惡意軟體的新變種以磁碟分割表為目標，使資料復原變得複雜並延長了受害者的停機時間。使用 BiBi Wiper 對以色列和阿爾巴尼亞的攻擊已被追蹤到疑似伊朗駭客組織 Void Manticore (Storm-842)，該組織據信隸屬於伊朗情報和安全部 (MOIS)。

研究人員於 2023 年 10 月首次發現 BiBi Wiper，導致以色列 CERT 於 2023 年 11 月就針對該國關鍵組織的廣泛網路攻擊發出警告。最近的一份報告披露了同一威脅組織使用的較新版本的 BiBi Wiper 以及另外兩個客製化雨刷器 Cl Wiper 和 Partition Wiper。

虛空蠍獅網路犯罪分子可能隱藏在假角色背後

據懷疑，Void Manticore 是在 Telegram 上的 Karma 黑客組織的幌子下運作的，該組織是在 10 月哈馬斯襲擊以色列後出現的。 Karma 已對針對 40 多個以色列實體的攻擊負責，並使用 Telegram 展示收集的資料或已擦除驅動器的證據，從而擴大了其活動的影響。阿爾巴尼亞的行動涉及一個名為國土正義的人物，一些被盜的文件在 Telegram 上洩露。

這種策略與Sandworm (APT44) 的作案手法非常相似，後者因利用 XakNet Team、CyberArmyofRussia_Reborn 和 Solntsepek 等駭客主題的 Telegram 頻道而聞名。

一個有趣的發現是，在某些情況下，虛空蠍獅似乎會將受損基礎設施的控制權委託給疤痕蠍獅。 Scarred Manticore 專門建立初始存取權限，經常利用 Microsoft Sharepoint CVE-2019-0604 缺陷等漏洞，進行 SMB 橫向移動並收集電子郵件。一旦滲透，這些組織就會被傳遞到 Void Manticore 進行有效負載注入、網路內進一步的橫向移動以及資料擦除機制的部署。

BiBi 雨刷不斷發展其破壞能力

Void Manticore 使用一系列工具進行破壞性活動，包括 Web shell、手動刪除工具、自訂擦除器和憑證驗證工具。

BiBi Wiper 惡意軟體的最新版本透過隨機資料取代非系統檔案並附加包含「BiBi」識別碼的隨機產生的副檔名來篡改非系統檔案。 BiBi 體現在 Linux 和 Windows 變體中，每種變體都有獨特的特徵和操作上的細微差別。

在Linux環境中，BiBi啟動與可用CPU核心相對應的多個執行緒以加快擦除過程。相反，Windows 版本的 BiBi 排除 .sys、.exe 和 .dll 文件，以防止導致系統無法啟動。

與先前的迭代相比，更新的變體專門針對以色列系統，並且避免刪除卷影副本或禁用系統的錯誤恢復畫面。然而，他們現在消除了磁碟上的分區信息，增加了資料恢復的挑戰。

分割區擦除器專門針對系統的分割區表，使磁碟版面配置無法復原。這使得恢復資料的工作變得更加複雜，並擴大了造成的損害的程度。受害者經常在重新啟動時遇到藍色畫面死機 (BSOD) 或系統崩潰，因為這些擦除器會影響主開機記錄 (MBR) 和 GUID 分割區表 (GPT) 分割區。