ビビワイパー

BiBi Wiper マルウェアの新しい亜種がディスク パーティション テーブルをターゲットにしていることが確認されており、データの復元を困難にし、被害者のダウンタイムを延長しています。イスラエルとアルバニアに対する BiBi Wiper を使用した攻撃は、イランの情報安全保障省 (MOIS) と関係があると考えられている Void Manticore (Storm-842) として知られるイランのハッキング グループによるものと特定されています。

研究者らは2023年10月に初めてBiBi Wiperを特定し、これを受けてイスラエルのCERTは2023年11月に同国の重要な組織に対する大規模なサイバー攻撃について警告を発しました。最近のレポートでは、同じ脅威グループが使用しているBiBi Wiperの新しいバージョンと、他の2つのカスタムワイパーであるCl WiperとPartition Wiperが明らかになりました。

ボイド・マンティコアのサイバー犯罪者は偽のペルソナの背後に隠れている可能性がある

ヴォイド・マンティコアは、10月のハマスによるイスラエル攻撃をきっかけに出現したテレグラム上のハクティビズム集団カルマを装って活動しているとみられている。カルマは40以上のイスラエルの組織への攻撃を指揮し、テレグラムを利用して収集したデータや消去されたドライブの証拠を披露し、活動の影響を拡大してきた。アルバニアでの活動にはHomeland Justiceとして知られる人物が関与しており、盗まれたファイルの一部はテレグラムで漏洩された。

この戦術は、XakNet Team、CyberArmyofRussia_Reborn、Solntsepek などのハクティビスト テーマの Telegram チャンネルを利用することで知られるSandworm (APT44) の手口とよく似ています。

興味深い事実として、Void Manticore は、特定のケースでは、侵害されたインフラストラクチャの制御を Scarred Manticore に委任しているようです。Scarred Manticore は、初期アクセスを確立することに特化しており、多くの場合、Microsoft Sharepoint CVE-2019-0604 の欠陥などの脆弱性を悪用し、SMB の横方向の移動を実行し、電子メールを収集します。侵入されると、これらの組織は Void Manticore に引き渡され、ペイロードの挿入、ネットワーク内でのさらなる横方向の移動、およびデータ消去メカニズムの展開が行われます。

ビビワイパーは破壊能力を進化させ続けている

Void Manticore は、Web シェル、手動削除ツール、カスタム ワイパー、資格情報検証ツールなど、さまざまなツールを破壊活動に使用します。

BiBi Wiper マルウェアの最新版は、システム以外のファイルをランダムなデータに置き換え、ランダムに生成された「BiBi」識別子を含む拡張子を追加することで改ざんします。BiBi は Linux と Windows の両方の亜種に現れ、それぞれに異なる特性と動作上のニュアンスがあります。

Linux 環境では、BiBi は利用可能な CPU コアに対応する複数のスレッドを開始して、消去プロセスを高速化します。一方、Windows バージョンの BiBi は、システムが起動できなくなるのを防ぐために、.sys、.exe、および .dll ファイルを除外します。

以前のバージョンとは対照的に、更新された亜種はイスラエルのシステムのみをターゲットにしており、シャドウ コピーの消去やシステムのエラー回復画面の無効化は行いません。ただし、ディスクからパーティション情報を削除するようになったため、データ回復の難易度が高まっています。

パーティション ワイパーは、特にシステムのパーティション テーブルに焦点を合わせ、ディスク レイアウトを回復不可能にします。これにより、データの復元が複雑になり、被害の範囲が拡大します。これらのワイパーはマスター ブート レコード (MBR) と GUID パーティション テーブル (GPT) の両方のパーティションに影響を及ぼすため、被害者は再起動時にブルー スクリーン (BSOD) やシステム クラッシュに遭遇することがよくあります。