BiBi-Linux Wiper マルウェアがイスラエルを標的に使用
新たに発見された BiBi-Linux と呼ばれるマルウェアは、データ消去を目的として、イスラエル企業が所有する Linux システムを狙った攻撃に使用されています。
Security Joes のインシデント対応チームは、イスラエル組織のネットワーク内のセキュリティ侵害を調査中に、この悪意のあるペイロードを発見しました。 VirusTotal の報告によると、現時点で BiBi-Linux を脅威として認識しているセキュリティ ベンダーのマルウェア スキャン エンジンは 2 社だけです。
このマルウェアは、ファイルを暗号化するふりをしながらも、身代金メモを残さないことや、被害者が身代金交渉のために攻撃者に連絡するための手段を一切残さないことが特徴です。
Security Joes の研究者の言葉を借りると、「この新たな脅威は、データ窃取のためにリモートのコマンド&コントロール (C2) サーバーとの通信を確立したり、可逆暗号化アルゴリズムを使用したり、被害者に支払いを迫るために身代金メモを使用したりすることはありません。」代わりに、不要なデータでファイルを上書きすることでファイルを破損し、データとオペレーティング システムの両方に損害を与えます。
BiBi-Linux - 動作モード
bibi-linux.out という名前の x64 ELF 実行可能ファイルとして識別されるペイロードにより、攻撃者はコマンドライン パラメーターを使用して暗号化するフォルダーを選択できます。 root 権限で実行し、特定のターゲット パスが指定されていない場合、「/」ルート ディレクトリ全体の削除を試みることにより、侵害されたデバイスのオペレーティング システムを完全に消去する可能性があります。
BiBi-Linux は、速度と効率を高めるために複数のスレッドとキュー システムを採用しています。ファイルの内容を上書きして使用不能にし、身代金のような名前と、「BiBi」(イスラエルのベンヤミン・ネタニヤフ首相にちなんだニックネーム)という用語とそれに続く数字を含む拡張子を付加します。
追加された数字は、BleepingComputer によって観察された、ファイルがワイプされた回数を示します。注目すべき点は、Security Joes によって発見されたマルウェア サンプルには難読化、パッキング、その他の保護対策がまったく施されていないため、マルウェア アナリストの作業が簡素化されているということです。
これは、脅威アクターが自分たちのツールが検出され、分析されることをそれほど心配していないことを示唆しています。代わりに、攻撃の影響を最大化することに重点を置いています。
破壊的マルウェアは、特に 2022 年 2 月のロシアによるウクライナ侵攻後、ウクライナの組織を標的とするロシアの脅威グループによって広範囲に使用されています。このような攻撃に使用された注目すべきワイパー マルウェアには、DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate、CaddyWiper、AcidRain などがあります。
たとえば、1 月には、ロシアの Sandworm 軍事ハッカーが、ウクライナ国営通信社 (Ukrinform) のネットワーク上で 5 つの異なるデータ消去マルウェア株を使用しました。