当地时间10月30日,Security Joes发布博客文章称其发现了一种新的Linux Wiper恶意软件,并将其追踪为BiBi-Linux Wiper。Security Joes事件响应团队的网络安全专家在以色列和哈马斯之间的冲突中挺身而出,为以色列公司提供援助。在调查过程中,他们发现了一个令人担忧的发现:一种名为BiBi-Linux Wiper的新型恶意软件。Security Joes是一家多层事件响应公司,战略性地分布在全球九个不同时区,提供全天候MDR和IR覆盖,以远程响应任何事件。
这种专为Linux系统设计的恶意软件构成了重大威胁。它是一个功能强大的可执行文件,如果授予root访问权限,可能会破坏整个操作系统。它的独特之处在于它能够使用多个线程定位特定文件夹、覆盖文件和同时损坏数据,从而显着增强其影响和速度。
与其他旨在窃取数据或索要赎金的恶意软件类型不同,BiBi-Linux Wiper采用不同的方法。它通过用无用信息覆盖数据来损坏文件和操作系统,使受影响的文件无法使用。这种破坏性软件通常被称为“ Wiper ”,并不是全新的,但仍然对公司、企业和毫无戒心的用户构成巨大的网络安全威胁。
根据该公司的博客文章,一个值得注意的细节是恶意软件中使用的命名约定-每个受感染文件的标题为bibi-linux.out。这个名字看似随意,实际上蕴含着政治色彩,因为“bibi”是以色列现任总理本杰明·内塔尼亚胡的常见绰号。对恶意软件内部工作原理的进一步探索揭示了该字符串在其结构中硬编码,用于生成损坏文件的标识符。
研究人员注意到这种恶意软件的罕见性;在他们进行调查时,它只在VirusTotal上收到了两次检测结果,这表明它是新的且分发有限。
这种破坏性恶意软件采用C/C++ 编码,文件大小为1.2MB,允许威胁参与者通过命令行参数指定目标文件夹,如果未提供路径,则默认选择根目录(“/”)。但是,在此级别执行操作需要root权限。
BiBi-Linux Wiper的另一个值得注意的方面是它在执行过程中使用nohup命令,以便在后台畅通无阻地运行。一些不会被覆盖的文件类型是扩展名为 .out或 .so的文件类型。
该公司表示:“这是因为该威胁依赖于bibi-linux.out和nohup.out等文件进行操作,以及Unix/Linux操作系统必需的共享库(.so 文件)。”
该恶意软件在执行时会产生大量输出,泄露有关其进度和操作的详细信息。为了解决这个问题,威胁参与者使用“nohup”命令,将输出重定向到文件,并防止擦除过程停止,即使控制台关闭也是如此。
它使用多线程和系统调用,使其能够快速有效地损坏文件。该恶意软件遵循一种模式,用随机数据覆盖文件,用“BiBi”扩展名重命名它们,并排除对操作系统功能至关重要的某些文件类型。
据Sekoia公司透露,疑似与哈马斯有关联的威胁行为者Arid Viper(又名APT-C-23、Desert Falcon、Gaza Cyber Gang和Molerats)很可能被组织为两个小组,每个小组都专注于分别针对以色列和巴勒斯坦的网络间谍活动。
SentinelOne研究人员Tom Hegel和Aleksandar Milenkoski在上周发布的一份分析报告中表示:“针对个体是Arid Viper的常见做法。”“这包括预先选定的巴勒斯坦和以色列引人注目的目标以及更广泛的团体,通常来自国防和政府组织、执法部门以及政党或运动等关键部门。”
该组织精心策划的攻击链包括社会工程和网络钓鱼攻击作为初始入侵向量,以部署各种定制恶意软件来监视受害者。其中包括Micropsia、PyMicropsia、Arid Gopher和BarbWire,以及一个用Rus 编写的名为Rusty Viper的新的未记录后门。
ESET本月早些时候指出:“总的来说,Arid Viper的武器库提供了多种间谍功能,例如使用麦克风录制音频、检测插入的闪存驱动器并从中窃取文件,以及窃取保存的浏览器凭据等等。”
自2022年2月俄乌战争以来,俄罗斯威胁组织也广泛使用破坏性恶意软件来攻击乌克兰组织的系统。用于攻击乌克兰的雨刷恶意软件包括DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate、cadywiper和AcidRain。
参考资源
1、https://www.securityjoes.com/post/bibi-linux-a-new-wiper-dropped-by-pro-hamas-hacktivist-group
2、https://thehackernews.com/2023/10/pro-hamas-hacktivists-targeting-israeli.html
3、https://www.hackread.com/hamas-hackers-israeli-bibi-linux-wiper-malware/
4、https://www.bleepingcomputer.com/news/security/new-bibi-linux-wiper-malware-targets-israeli-orgs-in-destructive-attacks/
声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。