BiBi Wiper viser seg å være en svært ødeleggende trussel mot skadelig programvare
BiBi-viskeren har dukket opp som en formidabel trussel, knyttet til Void Manticore, en iransk nettrusselsaktør tilknyttet departementet for etterretning og sikkerhet (MOIS). Denne gruppen er kjent for sine destruktive tørkeangrep og påvirkningsoperasjoner. Aktivitetene deres har vært spesielt virkningsfulle i Israel og Albania, og deres operasjoner har avslørt betydelige overlappinger med en annen gruppe, Scarred Manticore.
Table of Contents
Void Manticore: A Profile
Void Manticore, også kjent som Storm-842, opererer under forskjellige personas, spesielt "Homeland Justice" for angrep i Albania og "Karma" for operasjoner i Israel. Denne gruppen bruker en rekke metoder, inkludert tilpassede vindusviskere for Windows og Linux, for å utføre sine forstyrrende aktiviteter.
Samarbeid med Scarred Manticore
Void Manticores operasjoner krysser ofte de til Scarred Manticore (Storm-861), noe som indikerer en systematisk overlevering av mål. Dette samarbeidet gjør det mulig for Void Manticore å utnytte tilgangen og mulighetene til Scarred Manticore, og forbedre effektiviteten til angrepene deres.
Void Manticores TTP-er er relativt enkle, og involverer ofte manuell sletting av filer og sidebevegelser ved hjelp av Remote Desktop Protocol (RDP). Verktøyene deres er grunnleggende, for det meste offentlig tilgjengelige, og inkluderer forskjellige nettskall som "Karma Shell."
BiBi Wiper
Et kjennetegn på Void Manticores operasjoner i Israel er utplasseringen av BiBi-viskeren, oppkalt etter Israels statsminister Benjamin Netanyahu. Denne tilpassede viskeren har blitt brukt mye mot israelske organisasjoner, med varianter for både Linux- og Windows-systemer.
Linux versjon
Linux-versjonen av BiBi wiper, kjent som bibi-linux.out, ødelegger filer med tilfeldige data og gir dem nytt navn med tilfeldige navn og utvidelsen ".BiBi". Den unngår å infisere filer som er avgjørende for at operativsystemet skal opprettholde tørkeprosessen.
Windows-versjon
Windows-varianten, bibi.exe, følger et lignende mønster, men inkluderer tilleggsfunksjoner som sletting av skyggekopier og deaktivering av feilgjenopprettingsutløsere. Den unngår også å ødelegge kritiske systemfiler, og sikrer at viskeren kan fungere effektivt.
Påvirkningsoperasjoner: Rollen til “Karma”
"Karma"-personaen spiller en avgjørende rolle i Void Manticores strategi, spesielt i Israel. Karma ble opprinnelig oppfattet som en del av en bredere hacktivist-innsats, og ble fremtredende gjennom sin tilknytning til BiBi-viskeren. Denne personaen har vellykket målrettet mot over 40 israelske organisasjoner, med fokus på å tørke, stjele og publisere data.
Samarbeidet mellom Void Manticore og Scarred Manticore illustrerer en høy grad av koordinering, noe som gjør det mulig for Void Manticore å få tilgang til verdifulle mål og utføre deres destruktive aktiviteter effektivt. Dette samarbeidet, kombinert med deres påvirkningsoperasjoner, posisjonerer Void Manticore som en betydelig trussel innenfor det iranske cyberlandskapet.
Fra Albania til Midtøsten
Void Manticores virksomhet strekker seg utover Israel, med bemerkelsesverdige aktiviteter i Albania. Overleveringsprosedyren observert i angrep mot begge nasjoner antyder en rutineprosess med målovergang mellom Scarred Manticore og Void Manticore. Denne metoden var spesielt tydelig i de destruktive angrepene mot Albania, der Void Manticore satte ut vindusviskere som ligner på de som ble brukt i Israel.
Konklusjon
Void Manticore har gjennom sine destruktive viskerangrep og strategisk bruk av online personas etablert seg som en farlig og koordinert trusselaktør. Samarbeidet deres med Scarred Manticore og bruken av BiBi-viskeren fremhever deres evne til å påføre betydelig skade og påvirke politiske fortellinger i regionene de retter seg mot.
