BiBi Wiper viser sig at være en stærkt ødelæggende malware-trussel
BiBi-viskeren er dukket op som en formidabel trussel, knyttet til Void Manticore, en iransk cybertrusselsaktør tilknyttet Ministeriet for Efterretninger og Sikkerhed (MOIS). Denne gruppe er kendt for sine ødelæggende viskeangreb og indflydelsesoperationer. Deres aktiviteter har haft særlig indflydelse i Israel og Albanien, hvor deres operationer har afsløret betydelige overlapninger med en anden gruppe, Scarred Manticore.
Table of Contents
Void Manticore: En profil
Void Manticore, også kendt som Storm-842, opererer under forskellige personas, især "Homeland Justice" for angreb i Albanien og "Karma" for operationer i Israel. Denne gruppe anvender en række forskellige metoder, herunder brugerdefinerede vinduesviskere til Windows og Linux, til at udføre deres forstyrrende aktiviteter.
Samarbejde med Scarred Manticore
Void Manticores operationer krydser ofte dem med Scarred Manticore (Storm-861), hvilket indikerer en systematisk overdragelse af mål. Dette samarbejde gør det muligt for Void Manticore at udnytte adgangen og mulighederne i Scarred Manticore, hvilket øger effektiviteten af deres angreb.
Void Manticores TTP'er er relativt ligetil, og involverer ofte manuel sletning af filer og laterale bevægelser ved hjælp af Remote Desktop Protocol (RDP). Deres værktøjer er grundlæggende, for det meste offentligt tilgængelige, og inkluderer forskellige web-skaller som "Karma Shell".
BiBi Wiper
Et kendetegn for Void Manticores operationer i Israel er indsættelsen af BiBi-viskeren, opkaldt efter den israelske premierminister Benjamin Netanyahu. Denne brugerdefinerede visker er blevet brugt flittigt mod israelske organisationer, med varianter til både Linux- og Windows-systemer.
Linux version
Linux-versionen af BiBi wiper, kendt som bibi-linux.out, ødelægger filer med tilfældige data og omdøber dem med tilfældige navne og ".BiBi"-udvidelsen. Det undgår at inficere filer, der er afgørende for, at operativsystemet kan opretholde sletteprocessen.
Windows version
Windows-varianten, bibi.exe, følger et lignende mønster, men inkluderer yderligere funktioner som sletning af skyggekopier og deaktivering af fejlgendannelsesudløsere. Det undgår også at ødelægge kritiske systemfiler, hvilket sikrer, at viskeren kan fungere effektivt.
Influence Operations: Rollen af “Karma”
"Karma"-personaen spiller en afgørende rolle i Void Manticores strategi, især i Israel. Karma blev oprindeligt opfattet som en del af en bredere hacktivistisk indsats, og opnåede fremtrædende plads gennem sin tilknytning til BiBi-viskeren. Denne persona har med succes målrettet over 40 israelske organisationer med fokus på at slette, stjæle og offentliggøre data.
Samarbejdet mellem Void Manticore og Scarred Manticore illustrerer en høj grad af koordinering, der gør det muligt for Void Manticore at få adgang til værdifulde mål og udføre deres destruktive aktiviteter effektivt. Dette samarbejde, kombineret med deres indflydelsesoperationer, placerer Void Manticore som en væsentlig trussel inden for det iranske cyberlandskab.
Fra Albanien til Mellemøsten
Void Manticores aktiviteter strækker sig ud over Israel med bemærkelsesværdige aktiviteter i Albanien. Handoff-proceduren, der blev observeret i angreb mod begge nationer, antyder en rutineproces med målovergang mellem Scarred Manticore og Void Manticore. Denne metode var især tydelig i de destruktive angreb mod Albanien, hvor Void Manticore indsatte vinduesviskere svarende til dem, der blev brugt i Israel.
Konklusion
Void Manticore har gennem sine destruktive viskerangreb og strategisk brug af online-personas etableret sig som en farlig og koordineret trusselsaktør. Deres samarbejde med Scarred Manticore og brugen af BiBi-viskeren fremhæver deres evne til at påføre betydelig skade og påvirke politiske fortællinger i de regioner, de målretter mod.
