BiBi-Linux Wiper 恶意软件用于攻击以色列目标
一种新发现的名为 BiBi-Linux 的恶意软件正被用于针对以色列公司拥有的 Linux 系统的攻击,其目的是擦除数据。
Security Joes 的事件响应团队在调查以色列组织网络内的安全漏洞时发现了此恶意负载。据 VirusTotal 报道,截至目前,只有两家安全供应商的恶意软件扫描引擎将 BiBi-Linux 识别为威胁。
该恶意软件的特点是不留下勒索字条或任何方式让受害者联系攻击者进行勒索谈判,即使它假装加密文件。
用 Security Joes 的研究人员的话来说,“这种新威胁不会与远程命令与控制 (C2) 服务器建立通信以进行数据泄露,不会使用可逆加密算法,也不会使用勒索信来迫使受害者付款。”相反,它会用无用的数据覆盖文件来损坏文件,从而对数据和操作系统造成损害。
BiBi-Linux - 操作模式
该有效负载被识别为名为 bibi-linux.out 的 x64 ELF 可执行文件,允许攻击者使用命令行参数选择要加密的文件夹。如果以 root 权限运行并且没有提供特定的目标路径,它可以通过尝试删除整个“/”根目录来彻底清除受感染设备的操作系统。
BiBi-Linux 采用多线程和队列系统来提高速度和效率。它会覆盖文件内容,使它们无法使用,并附加一个类似赎金的名称和一个包含术语“BiBi”(与以色列总理本杰明·内塔尼亚胡相关的昵称)的扩展名,后跟一个数字。
附加的数字表示 BleepingComputer 观察到的文件被擦除的次数。值得注意的是,Security Joes 发现的恶意软件样本缺乏任何混淆、打包或其他保护措施,简化了恶意软件分析师的工作。
这表明威胁行为者并不过分担心他们的工具被检测和剖析;相反,他们专注于最大化攻击的影响。
俄罗斯威胁组织还广泛使用破坏性恶意软件来针对乌克兰组织,特别是在 2022 年 2 月俄罗斯入侵乌克兰之后。用于此类攻击的著名擦除器恶意软件包括 DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate、CaddyWiper 和 AcidRain。
例如,一月份,俄罗斯 Sandworm 军事黑客在乌克兰国家通讯社 (Ukrinform) 的网络上使用了五种不同的数据擦除恶意软件。