新版 BiBi Wiper 变种正在破坏磁盘分区表

新版本的 BiBi Wiper 恶意软件变种正在删除磁盘分区表，使数据恢复变得更加困难，从而延长目标受害者的停机时间。

BiBi Wiper 对以色列和阿尔巴尼亚的攻击与一个名为“Void Manticore”（Storm-842）的疑似伊朗黑客组织有关，该组织据信与伊朗情报和安全部（MOIS）有联系。

BiBi Wiper 于 2023 年 10 月首次被发现 ，其活动促使 以色列 CERT 于 2023 年 11 月发出警报，称有人利用该病毒针对该国重要组织开展大规模攻击性网络行动。

最新报告揭示了BiBi Wiper 的较新变种以及同一威胁组织使用的另外两种自定义擦除器，即 Cl Wiper 和 Partition Wiper。

此外，Void Manticore 与另一个伊朗威胁组织“Scarred Manticore”之间存在行动重叠，两者之间可能存在合作。

▌虚假身份和合作攻击

Void Manticore 被怀疑是 Telegram 上“Karma”黑客行动组织的幕后黑手，该组织于 10 月哈马斯袭击以色列后出现。

Karma 声称对 40 多个以色列组织发起了攻击，并在 Telegram 上发布被盗数据或驱动器被擦除的证据，以扩大其行动造成的损害。

在对阿尔巴尼亚攻击中使用的角色名为“国土正义”，其泄露了部分被盗 Telegram 文件。

这一策略与 Sandworm (APT44) 所采取的方法非常相似，Sandworm 被认为是隐藏在 XakNet Team、CyberArmyofRussia_Reborn 和 Solntsepek 等黑客行动主义品牌 Telegram 频道背后的黑手。

另一个有趣的发现是，在某些情况下，Void Manticore 似乎已将受损基础设施的控制权移交给了 Scarred Manticore。

Scarred Manticore 专注于建立初始访问权限，主要利用 Microsoft Sharepoint  CVE-2019-0604 漏洞、执行 SMB 横向移动和收集电子邮件。

随后，被入侵的组织被移交给 Void Manticore，后者负责执行有效载荷注入阶段、网络横向移动以及数据擦除器的部署。

Scarred与Void Manticore合作

▌Void Manticore 工具

Void Manticore 使用各种工具来执行破坏性操作，包括 Web Shell、手动删除工具、自定义擦除器和凭证验证工具。

Karma Shell 是第一个在受感染的 Web 服务器上部署的有效载荷，它是一个伪装成错误页面的自定义 Web shell，可以列出目录、创建进程、上传文件和管理服务。

通过 Karma Shell 执行的命令

Check Point 发现较新版本的 BiBi Wiper 会使用随机数据破坏非系统文件，并附加包含“BiBi”字符串的随机生成的扩展名。

BiBi 有 Linux 和 Windows 两个版本，每个版本都保留了一些独特的特性和细微的操作差异。

例如，在 Linux 上，BiBi 将根据可用 CPU 核心数生成多个线程以加快擦除过程。在 Windows 上，BiBi 将跳过 .sys、.exe 和 .dll 文件以避免导致系统无法启动。

与之前的恶意软件版本相比，新变种仅针对以色列系统，不会删除影子副本或禁用系统的错误恢复屏幕。但是，它们现在会从磁盘中删除分区信息，使数据恢复变得更加困难。

BiBi 和 Partition Wipers 中的分区擦除代码

CI Wiper 首次出现在针对阿尔巴尼亚系统的攻击中，它采用“ElRawDisk”驱动程序执行擦除操作，用预定义的缓冲区覆盖物理驱动器的内容。

分区擦除器专门针对系统的分区表，因此磁盘布局无法恢复，从而使数据恢复工作复杂化并最大限度地造成损害。

这些擦除器的攻击通常会导致受害者在重启时出现蓝屏死机 (BSOD) 或系统崩溃，因为它们会影响主引导记录 (MBR) 和 GUID 分区表 (GPT) 分区。

硬盘擦除器（Wiper）危险性极高，一旦被威胁组织得手，企业恢复数据难度极大，塞讯验证建议：

1、做好您的日常重要数据的备份，条件具备时实时备份是最理想的，并时常演练数据恢复，确保在出现问题时数据可以被恢复。

2、您可以在塞讯安全度量验证平台中搜索关键词“Wiper”获取所有与硬盘擦除器（Wiper）相关攻击模拟验证动作，从而验证您的安全防御体系是否能够有效应对此类恶意软件的攻击，平台以业界独有方式确保您的验证过程安全无害。

原文始发于微信公众号（塞讯安全验证）：新版 BiBi Wiper 变种正在破坏磁盘分区表