Μια νέα έκδοση του κακόβουλου λογισμικού BiBi Wiper διαγράφει τώρα το disk partition table, για να κάνει πιο δύσκολη την αποκατάσταση δεδομένων, επεκτείνοντας τον χρόνο διακοπής λειτουργίας για τα στοχευμένα θύματα.
Δείτε επίσης: Ιρανοί hackers στοχεύουν Αλβανία και Ισραήλ με wiping επιθέσεις
Οι επιθέσεις BiBi Wiper στο Ισραήλ και την Αλβανία συνδέονται με μια ύποπτη ιρανική ομάδα hacker που ονομάζεται «Void Manticore» (Storm-842), η οποία πιστεύεται ότι συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS).
Το BiBi Wiper εντοπίστηκε για πρώτη φορά από την Security Joes τον Οκτώβριο του 2023, με τις δραστηριότητές του να οδηγούν σε ειδοποίηση από την CERT του Ισραήλ τον Νοέμβριο του 2023 σχετικά με μεγάλης κλίμακας επιθετικές επιχειρήσεις στον κυβερνοχώρο που το χρησιμοποιούν εναντίον κρίσιμων οργανισμών στη χώρα.
Μια νέα αναφορά από την Check Point Research αποκαλύπτει νεότερες παραλλαγές του BiBi Wiper και δύο άλλους προσαρμοσμένους wipers που χρησιμοποιούνται από την ίδια ομάδα απειλών, τους Cl Wiper και Partition Wiper.
Η έκθεση υπογραμμίζει επίσης τις επιχειρησιακές επικαλύψεις μεταξύ της Void Manticore και της «Scarred Manticore», μιας άλλης ιρανικής ομάδας απειλής, υποδηλώνοντας συνεργασία μεταξύ των δύο.
Δείτε ακόμα: Hackers υπέρ της Χαμάς στοχεύουν το Ισραήλ με το BiBi malware
Η CheckPoint υποπτεύεται ότι η Void Manticore κρύβεται πίσω από την ομάδα χακτιβισμού «Karma» στο Telegram, η οποία εμφανίστηκε μετά την επίθεση της Χαμάς στο Ισραήλ τον Οκτώβριο. Η Karma έχει αναλάβει επιθέσεις εναντίον περισσότερων από 40 ισραηλινών οργανώσεων, δημοσιεύοντας κλεμμένα δεδομένα ή αποδεικτικά στοιχεία σβησμένων δίσκων στο Telegram.
Μία περσόνα που χρησιμοποιήθηκε για τις αλβανικές επιθέσεις ονομάζεται «Homeland Justice», και διέρρευσε ορισμένα από τα κλεμμένα αρχεία στο Telegram. Αυτή η στρατηγική μοιάζει πολύ με την προσέγγιση που ακολούθησε η Sandworm (APT44), η οποία, σύμφωνα με τη Mandiant, κρύβεται πίσω από κανάλια Telegram με επωνυμίες hacktivist, όπως τα XakNet Team, CyberArmyofRussia_Reborn και Solntsepek.
Ένα άλλο ενδιαφέρον εύρημα είναι ότι η Void Manticore φαίνεται να έχει παραδώσει τον έλεγχο της παραβιασμένης υποδομής από τη Scarred Manticore σε ορισμένες περιπτώσεις.
Η Scarred Manticore εστιάζει στη δημιουργία αρχικής πρόσβασης, κυρίως αξιοποιώντας το ελάττωμα του Microsoft Sharepoint CVE-2019-0604, εκτελώντας πλευρική κίνηση SMB και συλλέγοντας μηνύματα ηλεκτρονικού ταχυδρομείου. Οι παραβιασμένοι οργανισμοί παραδίδονται στη συνέχεια στην Void Manticore, η οποία πραγματοποιεί τα στάδια έγχυσης ωφέλιμου φορτίου, την πλευρική κίνηση στο δίκτυο και την ανάπτυξη των data wipers.
Δείτε επίσης: F5 BIG-IP: Ψεύτικες προειδοποιήσεις zero-day προωθούν data wipers
Πώς λειτουργεί ένα wiper malware;
Τα wiper malware, όπως το BiBi Wiper, είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να καταστρέφει ή να διαγράφει δεδομένα από το σύστημα του θύματος. Η λειτουργία του βασίζεται σε διάφορες τεχνικές που επιτρέπουν την πλήρη ή μερική καταστροφή των δεδομένων, καθιστώντας τα μη ανακτήσιμα. Αρχικά, το wiper malware εισέρχεται στο σύστημα του θύματος μέσω διαφόρων μεθόδων, όπως phishing emails, κακόβουλα συνημμένα αρχεία ή εκμετάλλευση ευπαθειών στο λογισμικό. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό αρχίζει να εκτελεί τις καταστροφικές του λειτουργίες. Μία από τις κύριες τεχνικές που χρησιμοποιεί το wiper malware είναι η αντικατάσταση των δεδομένων με τυχαία ή μηδενικά δεδομένα. Επιπλέον, το wiper malware μπορεί να διαγράψει τα δεδομένα από τον δίσκο του συστήματος, συμπεριλαμβανομένων των αρχείων συστήματος και των αρχείων εκκίνησης.
Πηγή: bleepingcomputer
