BiBi Wiper visar sig vara ett mycket destruktivt hot mot skadlig programvara
BiBi-torkaren har dykt upp som ett formidabelt hot, kopplat till Void Manticore, en iransk aktör för cyberhot med anknytning till ministeriet för underrättelser och säkerhet (MOIS). Denna grupp är känd för sina destruktiva avtorkningsattacker och påverkansoperationer. Deras aktiviteter har haft särskilt stor betydelse i Israel och Albanien, där deras verksamhet har avslöjat betydande överlappningar med en annan grupp, Scarred Manticore.
Table of Contents
Void Manticore: A Profile
Void Manticore, även känd som Storm-842, verkar under olika personas, framför allt "Homeland Justice" för attacker i Albanien och "Karma" för operationer i Israel. Denna grupp använder en mängd olika metoder, inklusive anpassade torkare för Windows och Linux, för att utföra sina störande aktiviteter.
Samarbete med Scarred Manticore
Void Manticores verksamhet korsar sig ofta med Scarred Manticores (Storm-861), vilket indikerar en systematisk handoff av mål. Detta samarbete gör det möjligt för Void Manticore att dra nytta av åtkomsten och funktionerna hos Scarred Manticore, vilket förbättrar effektiviteten i deras attacker.
Void Manticores TTP:er är relativt enkla och involverar ofta manuell radering av filer och sidorörelser med hjälp av Remote Desktop Protocol (RDP). Deras verktyg är grundläggande, mestadels allmänt tillgängliga, och inkluderar olika webbskal som "Karma Shell".
BiBi Wiper
Ett kännetecken för Void Manticores verksamhet i Israel är utplaceringen av BiBi-torkaren, uppkallad efter Israels premiärminister Benjamin Netanyahu. Denna anpassade torkare har använts flitigt mot israeliska organisationer, med varianter för både Linux- och Windows-system.
Linux version
Linux-versionen av BiBi wiper, känd som bibi-linux.out, korrumperar filer med slumpmässiga data och byter namn på dem med slumpmässiga namn och tillägget ".BiBi". Det undviker att infektera filer som är nödvändiga för operativsystemet för att upprätthålla rensningsprocessen.
Windows-version
Windows-varianten, bibi.exe, följer ett liknande mönster men innehåller ytterligare funktioner som att ta bort skuggkopior och inaktivera felåterställningsutlösare. Det undviker också att förstöra viktiga systemfiler, vilket säkerställer att torkaren kan fungera effektivt.
Influence Operations: The Role of “Karma”
"Karma"-personan spelar en avgörande roll i Void Manticores strategi, särskilt i Israel. Ursprungligen uppfattas som en del av en bredare hacktivistisk insats, Karma fick framträdande plats genom sin koppling till BiBi wiper. Denna persona har framgångsrikt riktat sig till över 40 israeliska organisationer, med fokus på att torka, stjäla och publicera data.
Samarbetet mellan Void Manticore och Scarred Manticore illustrerar en hög grad av samordning, vilket gör det möjligt för Void Manticore att komma åt värdefulla mål och utföra sina destruktiva aktiviteter effektivt. Detta samarbete, i kombination med deras påverkansverksamhet, positionerar Void Manticore som ett betydande hot inom det iranska cyberlandskapet.
Från Albanien till Mellanöstern
Void Manticores verksamhet sträcker sig utanför Israel, med anmärkningsvärda aktiviteter i Albanien. Handoff-proceduren som observerats vid attacker mot båda nationerna antyder en rutinprocess för målövergång mellan Scarred Manticore och Void Manticore. Denna metod var särskilt tydlig i de destruktiva attackerna mot Albanien, där Void Manticore satte ut torkare liknande de som används i Israel.
Slutsats
Void Manticore har genom sina destruktiva wiper-attacker och strategiska användning av online-personas etablerat sig som en farlig och samordnad hotaktör. Deras samarbete med Scarred Manticore och användningen av BiBi-torkaren framhäver deras förmåga att orsaka betydande skada och påverka politiska berättelser i de regioner de riktar sig till.
