新BiBi Wiper版本会破坏磁盘分区表

新版本的 BiBi Wiper 恶意软件现在正在删除磁盘分区表，使数据恢复变得更加困难，从而延长了目标受害者的停机时间。

据了解，BiBi Wiper 攻击与一个名为“Void Manticore”(Storm-842) 的疑似伊朗黑客组织有关，该组织隶属于伊朗情报和安全部 (MOIS)。

BiBi Wiper 于 2023 年 10 月首次被 Security Joes 发现，主要针对以色列关键组织进行大规模攻击性网络行动。

Check Point Research 的一份新报告揭示了 BiBi 擦除器的新变种以及同一威胁组织使用的另外两个自定义擦除器，即 Cl Wiper 和 Partition Wiper。该报告还强调了虚空蝎狮和另一个伊朗威胁组织疤痕蝎狮之间的行动重叠，表明两者之间存在合作。

虚假角色和合作攻击

CheckPoint 怀疑 Void Manticore 隐藏在 Telegram 上的“Karma”黑客组织背后，该组织是在 10 月份哈马斯袭击以色列后出现的。Karma 声称对 40 多个以色列组织发起攻击，在 Telegram 上发布被盗数据或擦除驱动器的证据，以扩大其运营损失。

用于阿尔巴尼亚攻击的角色名为“国土正义”，该角色在 Telegram 上泄露了一些被盗文件。这种策略与 Sandworm (APT44) 所遵循的方法非常相似，根据 Mandiant 的说法，Sandworm 隐藏在 XakNet Team、CyberArmyofRussia_Reborn 和 Solntsepek 等黑客活动品牌的 Telegram 频道后面。

另一个有趣的发现是，在某些情况下，虚空蝎狮似乎已经将受损基础设施的控制权交给了疤痕蝎狮。

Scarred Manticore 专注于建立初始访问，主要通过利用 Microsoft Sharepoint CVE-2019-0604 缺陷、执行 SMB 横向移动和收集电子邮件。

然后，受感染的组织将被移交给 Void Manticore，后者负责执行有效负载注入阶段、网络横向移动以及数据擦除器的部署。

伤痕与虚空蝎狮合作图

虚空蝎狮工具

Void Manticore 使用各种工具来执行破坏性操作，包括 Web shell、手动删除工具、自定义擦除器和凭证验证工具。

Karma Shell 是第一个部署在受感染 Web 服务器上的有效负载，它是一个伪装成错误页面的自定义 Web shell，可以列出目录、创建进程、上传文件和管理服务。

通过 Karma Shell 执行的命令

Check Point 发现的 BiBi Wiper 的较新版本会使用随机数据损坏非系统文件，并附加包含“BiBi”字符串的随机生成的扩展名。

BiBi 有 Linux 和 Windows 版本，每种版本都有一些独特的特征和细微的操作差异。例如，在 Linux 上，BiBi 将根据可用 CPU 核心的数量生成多个线程，以加快擦除过程。在 Windows 上，BiBi 将跳过 .sys、.exe 和 .dll 文件，以避免导致系统无法启动。

与过去的恶意软件版本相比，较新的变体仅配置为针对以色列系统，并且不会删除卷影副本或禁用系统的错误恢复屏幕。然而，他们现在从磁盘中删除分区信息，使得恢复数据变得更加困难。

BiBi 和 Partition Wipers 中的分区擦除代码

CI Wiper 首次出现在针对阿尔巴尼亚系统的攻击中，它使用“ElRawDisk”驱动程序执行擦除操作，使用预定义的缓冲区覆盖物理驱动器内容。

分区擦除器专门针对系统的分区表，因此无法恢复磁盘布局，从而使数据恢复工作变得复杂并造成最大程度的损害。来自这些擦除器的攻击通常会导致受害者蓝屏死机 (BSOD) 或重新启动时系统崩溃，因为它们会影响主引导记录 (MBR) 和 GUID 分区表 (GPT) 分区。