本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
新版本的BiBi Wiper恶意软件现在正在删除磁盘分区表,使数据恢复变得更加困难,从而延长了目标受害者的停机时间。
据了解,BiBi Wiper攻击与一个名为“Void Manticore”(Storm-842)的疑似伊朗黑客组织有关,该组织隶属于伊朗情报和安全部(MOIS)。
BiBi Wiper于2023年10月首次被Security Joes发现,主要针对以色列关键组织进行大规模攻击性网络行动。
Check Point Research的一份新报告揭示了BiBi擦除器的新变种以及同一威胁组织使用的另外两个自定义擦除器,即Cl Wiper和Partition Wiper。该报告还强调了虚空蝎狮和另一个伊朗威胁组织疤痕蝎狮之间的行动重叠,表明两者之间存在合作。
虚假角色和合作攻击
CheckPoint怀疑Void Manticore隐藏在Telegram上的“Karma”黑客组织背后,该组织是在10月份哈马斯袭击以色列后出现的。Karma声称对40多个以色列组织发起攻击,在Telegram上发布被盗数据或擦除驱动器的证据,以扩大其运营损失。
用于阿尔巴尼亚攻击的角色名为“国土正义”,该角色在Telegram上泄露了一些被盗文件。
这种策略与Sandworm(APT44)所遵循的方法非常相似,根据Mandiant的说法,Sandworm隐藏在XakNetTeam、CyberArmyofRussia_Reborn和Solntsepek等黑客活动品牌的Telegram频道后面。
另一个有趣的发现是,在某些情况下,虚空蝎狮似乎已经将受损基础设施的控制权交给了疤痕蝎狮。
Scarred Manticore专注于建立初始访问,主要通过利用Microsoft Sharepoint CVE-2019-0604缺陷、执行SMB横向移动和收集电子邮件。
然后,受感染的组织将被移交给Void Manticore,后者负责执行有效负载注入阶段、网络横向移动以及数据擦除器的部署。
伤痕与虚空蝎狮合作图
虚空蝎狮工具
Void Manticore使用各种工具来执行破坏性操作,包括Web shell、手动删除工具、自定义擦除器和凭证验证工具。
Karma Shell是第一个部署在受感染Web服务器上的有效负载,它是一个伪装成错误页面的自定义Web shell,可以列出目录、创建进程、上传文件和管理服务。
通过Karma Shell执行的命令
Check Point发现的BiBi Wiper的较新版本会使用随机数据损坏非系统文件,并附加包含“BiBi”字符串的随机生成的扩展名。
BiBi有Linux和Windows版本,每种版本都有一些独特的特征和细微的操作差异。例如,在Linux上,BiBi将根据可用CPU核心的数量生成多个线程,以加快擦除过程。在Windows上,BiBi将跳过.sys、.exe和.dll文件,以避免导致系统无法启动。
与过去的恶意软件版本相比,较新的变体仅配置为针对以色列系统,并且不会删除卷影副本或禁用系统的错误恢复屏幕。然而,他们现在从磁盘中删除分区信息,使得恢复数据变得更加困难。
BiBi和Partition Wipers中的分区擦除代码
CI Wiper首次出现在针对阿尔巴尼亚系统的攻击中,它使用“ElRawDisk”驱动程序执行擦除操作,使用预定义的缓冲区覆盖物理驱动器内容。
分区擦除器专门针对系统的分区表,因此无法恢复磁盘布局,从而使数据恢复工作变得复杂并造成最大程度的损害。来自这些擦除器的攻击通常会导致受害者蓝屏死机(BSOD)或重新启动时系统崩溃,因为它们会影响主引导记录(MBR)和GUID分区表(GPT)分区。