BiBi-Linux Wiper 惡意軟體用於攻擊以色列目標
一種新發現的名為 BiBi-Linux 的惡意軟體正被用於針對以色列公司擁有的 Linux 系統的攻擊,其目的是擦除資料。
Security Joes 的事件回應團隊在調查以色列組織網路內的安全漏洞時發現了此惡意負載。根據 VirusTotal 報導,截至目前,只有兩家安全供應商的惡意軟體掃描引擎將 BiBi-Linux 識別為威脅。
該惡意軟體的特點是不留下勒索字條或任何方式讓受害者聯繫攻擊者進行勒索談判,即使它假裝加密檔案。
用Security Joes 的研究人員的話來說,「這種新威脅不會與遠端命令與控制(C2) 伺服器建立通訊以進行資料洩露,不會使用可逆加密演算法,也不會使用勒索信來迫使受害者付款。”相反,它會用無用的資料覆蓋文件來損壞文件,從而對資料和作業系統造成損害。
BiBi-Linux - 操作模式
此有效負載被識別為名為 bibi-linux.out 的 x64 ELF 可執行文件,允許攻擊者使用命令列參數選擇要加密的資料夾。如果以 root 權限運行且沒有提供特定的目標路徑,它可以透過嘗試刪除整個「/」根目錄來徹底清除受感染裝置的作業系統。
BiBi-Linux 採用多執行緒和佇列系統來提高速度和效率。它會覆蓋文件內容,使它們無法使用,並附加一個類似贖金的名稱和一個包含術語“BiBi”(與以色列總理本傑明·內塔尼亞胡相關的暱稱)的擴展名,後跟一個數字。
附加的數字表示 BleepingComputer 觀察到的檔案被擦除的次數。值得注意的是,Security Joes 發現的惡意軟體樣本缺乏任何混淆、打包或其他保護措施,簡化了惡意軟體分析師的工作。
這顯示威脅行為者並不過度擔心他們的工具被偵測和剖析;相反,他們專注於最大化攻擊的影響。
俄羅斯威脅組織也廣泛使用破壞性惡意軟體來針對烏克蘭組織,特別是在2022 年2 月俄羅斯入侵烏克蘭之後。用於此類攻擊的著名擦除器惡意軟體包括DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate、 CaddyWiper 和AcidRain。
例如,一月份,俄羅斯 Sandworm 軍事駭客在烏克蘭國家通訊社 (Ukrinform) 的網路上使用了五種不同的資料擦除惡意軟體。