BiBi-Linux ワイパー マルウェア

ハマスを支援するハクティビスト グループが、BiBi-Linux Wiper と呼ばれる新しい Linux ベースのワイパー マルウェアを使用していることが判明しました。この悪意のあるソフトウェアは、特にイスラエルとハマスの紛争が続くイスラエルの組織をターゲットとしています。

BiBi-Linux Wiper は、x64 ELF 実行可能ファイルとして設計されており、難読化や保護手段は採用されていません。このマルウェアは、攻撃者がターゲット フォルダを指定することを可能にし、root 権限で実行された場合、オペレーティング システム全体を動作不能にする可能性があります。

BiBi-Linux Wiper マルウェアで発見されたその他の機能

さまざまな機能の中で、このマルウェアはマルチスレッドを採用してファイルを同時に破損し、それによって速度と到達範囲を強化します。これは、ファイルを上書きし、「[RANDOM_NAME].BiBi[NUMBER]」の形式で特定のハードコーディングされた文字列「BiBi」を使用して名前を変更することで実現されます。さらに、特定の種類のファイルを破損から除外することもできます。

この破壊的なマルウェアは C/C++ を使用して開発されており、ファイル サイズは 1.2 MB です。これにより、攻撃者はコマンドライン パラメーターを使用してターゲット フォルダーを指定できるようになります。特定のパスが指定されていない場合、デフォルトの選択はルート ディレクトリ (「/」) になります。ただし、このレベルでアクションを実行するには root 権限が必要です。

特に、BiBi-Linux Wiper は実行中に「nohup」コマンドを使用して、バックグラウンドでスムーズに動作するようにしています。拡張子が .out または .so のファイルなど、特定のファイル タイプは上書きから除外されます。この脅威は、Unix/Linux オペレーティング システムに不可欠な共有ライブラリ (.so ファイル) に加えて、その動作に bibi-linux.out や nohup.out などのファイルにも依存しているため、この例外は不可欠です。

ハッカーは中東の注目度の高い標的に活動の焦点を当てている

研究者らは、アリッド・バイパー（ APT-C-23、デザート・ファルコン、ガザ・サイバー・ギャング、モールラットとも呼ばれる）などいくつかの名前で知られるハマス関連の脅威アクターと思われる人物が、2つの異なるサブグループとして活動している可能性が高いと考えている。これらの各サブグループは主に、イスラエルまたはパレスチナをターゲットとしたサイバースパイ活動の実施に焦点を当てています。

アリッド・バイパーは通常、パレスチナとイスラエルの両方の背景を持つ事前に選ばれた著名な個人を含む個人を標的にする行為に従事しています。また、特に防衛機関や政府機関、法執行機関、政党や運動などの重要なセクター内の、より広範なグループもターゲットにしています。

目的を達成するために、Arid Viper はさまざまな攻撃チェーンを使用します。これらのチェーンは多くの場合、最初の侵入方法としてソーシャル エンジニアリングやフィッシング攻撃から始まり、被害者を監視するために設計された幅広いカスタム マルウェアを展開することができます。このマルウェア アーセナルは、マイクを介した音声録音、挿入されたフラッシュ ドライブからファイルを検出して抽出する機能、保存されたブラウザ認証情報の盗難など、さまざまなスパイ機能を脅威アクターに与えます。