Er is waargenomen dat een pro-Hamas-hacktivistische groep een nieuwe op Linux gebaseerde wiper-malware gebruikt, genaamd BiBi-Linux-wissergericht op Israëlische entiteiten te midden van de aanhoudende oorlog tussen Israël en Hamas.
“Deze malware is een x64 ELF-uitvoerbaar bestand, zonder verduistering of beschermende maatregelen”, zegt Security Joes in een nieuw rapport dat vandaag is gepubliceerd. “Het stelt aanvallers in staat doelmappen te specificeren en kan mogelijk een heel besturingssysteem vernietigen als het met rootrechten wordt uitgevoerd.”
Enkele van de andere mogelijkheden zijn onder meer multithreading om bestanden gelijktijdig te beschadigen om de snelheid en het bereik ervan te vergroten, bestanden te overschrijven en ze te hernoemen met een extensie die de hardgecodeerde string “BiBi” bevat (in het formaat “[RANDOM_NAME].BiBi[NUMBER]”), en het uitsluiten van bepaalde bestandstypen tegen beschadiging.
“Hoewel de string ‘bibi’ (in de bestandsnaam) willekeurig kan lijken, heeft deze een belangrijke betekenis wanneer deze wordt gemengd met onderwerpen als de politiek in het Midden-Oosten, aangezien het een veel voorkomende bijnaam is die wordt gebruikt voor de Israëlische premier Benjamin Netanyahu. voegde het cyberbeveiligingsbedrijf eraan toe.
De destructieve malware, gecodeerd in C/C++ en met een bestandsgrootte van 1,2 MB, stelt de bedreigingsactor in staat doelmappen te specificeren via opdrachtregelparameters, waarbij standaard wordt gekozen voor de hoofdmap (“https://thehackernews.com/” ) als er geen pad is opgegeven. Voor het uitvoeren van de actie op dit niveau zijn echter root-machtigingen vereist.
Een ander opmerkelijk aspect van BiBi-Linux Wiper is het gebruik van de opdracht nohup tijdens de uitvoering, zodat deze ongehinderd op de achtergrond kan worden uitgevoerd. Sommige bestandstypen die niet worden overschreven, zijn bestanden met de extensie .out of .so.
“Dit komt omdat de dreiging voor zijn werking afhankelijk is van bestanden als bibi-linux.out en nohup.out, samen met gedeelde bibliotheken die essentieel zijn voor het Unix/Linux besturingssysteem (.so-bestanden)”, aldus het bedrijf.
De ontwikkeling komt op het moment dat Sekoia onthulde dat de vermoedelijk aan Hamas gelieerde bedreigingsacteur bekend als Arid Viper (ook bekend als APT-C-23, Desert Falcon, Gaza Cyber Gang en Molerats) waarschijnlijk is georganiseerd als twee subgroepen, waarbij elke cluster zich richt op cyberspionageactiviteiten tegen respectievelijk Israël en Palestina.
“Het targeten van individuen is een gangbare praktijk van Arid Viper”, zeiden SentinelOne-onderzoekers Tom Hegel en Aleksandar Milenkoski in een analyse die vorige week werd vrijgegeven.
“Dit omvat vooraf geselecteerde Palestijnse en Israëlische spraakmakende doelwitten, maar ook bredere groepen, doorgaans uit kritieke sectoren zoals defensie- en overheidsorganisaties, wetshandhaving en politieke partijen of bewegingen.”
Aanvalsketens die door de groep worden georkestreerd, omvatten social engineering- en phishing-aanvallen als initiële inbraakvectoren om een breed scala aan aangepaste malware in te zetten om de slachtoffers te bespioneren. Dit omvat Micropsia, PyMicropsia, Arid Gopher en BarbWire, en een nieuwe ongedocumenteerde achterdeur genaamd Rusty Viper die is geschreven in Rust.
“Gezamenlijk biedt het arsenaal van Arid Viper diverse spionagemogelijkheden, zoals het opnemen van audio met de microfoon, het detecteren van geplaatste flashdrives en het exfiltreren van bestanden daarvan, en het stelen van opgeslagen browsergegevens, om er maar een paar te noemen”, merkte ESET eerder deze maand op.
