Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
Было замечено, что группа сторонников ХАМАСА использует новое вредоносное ПО wiper на базе Linux, получившее название BiBi-Linux Wiper, нацеленное на израильские организации в условиях продолжающейся войны между Израилем и ХАМАСом.
"Это вредоносное ПО представляет собой исполняемый файл ELF в формате x64, без обфускации или защитных мер", - сказал специалист по безопасности Джо в новом отчете, опубликованном сегодня. "Оно позволяет злоумышленникам указывать целевые папки и потенциально может уничтожить всю операционную систему, если будет запущено с правами root".
Некоторые из других возможностей Wiper включают в себя многопоточность для одновременного повреждения файлов для повышения скорости и охвата, перезапись файлов, переименование их с расширением, содержащим жестко запрограммированную строку "BiBi" (в формате "[RANDOM_NAME].BiBi [NUMBER]") и исключение повреждения определенных типов файлов.
"Хотя строка "биби" (в имени файла) может показаться случайной, она имеет важное значение в сочетании с такими темами, как политика на Ближнем Востоке, поскольку это распространенное прозвище, используемое для премьер-министра Израиля Биньямина Нетаньяху", - добавила компания по кибербезопасности.
Вредоносное ПО, закодированное на C / C ++ и имеющее размер файла 1,2 МБ, позволяет субъекту угрозы указывать целевые папки с помощью параметров командной строки, по умолчанию выбирая корневой каталог ("/"), если путь не указан. Однако для выполнения действия на этом уровне требуются права root.
Еще одним примечательным аспектом BiBi-Linux Wiper является использование команды nohup во время выполнения, чтобы беспрепятственно запускать ее в фоновом режиме. Некоторые типы файлов, которые не подлежат перезаписи, - это файлы с расширениями .out или .so.
"Это связано с тем, что угроза использует для своей работы такие файлы, как bibi-linux.out и nohup.out, а также разделяемые библиотеки, необходимые для ОС Unix / Linux (файлы.so)", - заявили в компании.
Разработка происходит после того, как Sekoia выявила, что подозреваемый в связях с ХАМАСОМ субъект угрозы, известный как Arid Viper (он же APT-C-23, Desert Falcon, Gaza Cyber Gang и Molerats), вероятно, организован как две подгруппы, каждая из которых сосредоточена на кибершпионаже против Израиля и Палестины соответственно.
"Нацеливание на отдельных лиц - обычная практика Arid Viper", - заявили исследователи SentinelOne Том Хегель и Александар Миленкоски в анализе, опубликованном на прошлой неделе.
"Это включает в себя заранее выбранные палестинские и израильские цели высокого уровня, а также более широкие группы, как правило, из критически важных секторов, таких как оборонные и правительственные организации, правоохранительные органы и политические партии или движения".
Организованные группой цепочки атак включают социальную инженерию и фишинговые атаки в качестве начальных векторов вторжения для развертывания широкого спектра пользовательских вредоносных программ для слежки за своими жертвами. К ним относятся Micropsia, PyMicropsia, Arid Gopher и BarbWire, а также новый недокументированный бэкдор под названием Rusty Viper, написанный на Rust.
"В совокупности арсенал Arid Viper предоставляет разнообразные шпионские возможности, такие как запись звука с помощью микрофона, обнаружение вставленных флэш-накопителей и извлечение файлов с них, а также кража сохраненных учетных данных браузера, и это лишь некоторые из них", - отмечала ESET ранее в этом месяце.
"Это вредоносное ПО представляет собой исполняемый файл ELF в формате x64, без обфускации или защитных мер", - сказал специалист по безопасности Джо в новом отчете, опубликованном сегодня. "Оно позволяет злоумышленникам указывать целевые папки и потенциально может уничтожить всю операционную систему, если будет запущено с правами root".
Некоторые из других возможностей Wiper включают в себя многопоточность для одновременного повреждения файлов для повышения скорости и охвата, перезапись файлов, переименование их с расширением, содержащим жестко запрограммированную строку "BiBi" (в формате "[RANDOM_NAME].BiBi [NUMBER]") и исключение повреждения определенных типов файлов.
"Хотя строка "биби" (в имени файла) может показаться случайной, она имеет важное значение в сочетании с такими темами, как политика на Ближнем Востоке, поскольку это распространенное прозвище, используемое для премьер-министра Израиля Биньямина Нетаньяху", - добавила компания по кибербезопасности.
Вредоносное ПО, закодированное на C / C ++ и имеющее размер файла 1,2 МБ, позволяет субъекту угрозы указывать целевые папки с помощью параметров командной строки, по умолчанию выбирая корневой каталог ("/"), если путь не указан. Однако для выполнения действия на этом уровне требуются права root.
Еще одним примечательным аспектом BiBi-Linux Wiper является использование команды nohup во время выполнения, чтобы беспрепятственно запускать ее в фоновом режиме. Некоторые типы файлов, которые не подлежат перезаписи, - это файлы с расширениями .out или .so.
"Это связано с тем, что угроза использует для своей работы такие файлы, как bibi-linux.out и nohup.out, а также разделяемые библиотеки, необходимые для ОС Unix / Linux (файлы.so)", - заявили в компании.
Разработка происходит после того, как Sekoia выявила, что подозреваемый в связях с ХАМАСОМ субъект угрозы, известный как Arid Viper (он же APT-C-23, Desert Falcon, Gaza Cyber Gang и Molerats), вероятно, организован как две подгруппы, каждая из которых сосредоточена на кибершпионаже против Израиля и Палестины соответственно.
"Нацеливание на отдельных лиц - обычная практика Arid Viper", - заявили исследователи SentinelOne Том Хегель и Александар Миленкоски в анализе, опубликованном на прошлой неделе.
"Это включает в себя заранее выбранные палестинские и израильские цели высокого уровня, а также более широкие группы, как правило, из критически важных секторов, таких как оборонные и правительственные организации, правоохранительные органы и политические партии или движения".
Организованные группой цепочки атак включают социальную инженерию и фишинговые атаки в качестве начальных векторов вторжения для развертывания широкого спектра пользовательских вредоносных программ для слежки за своими жертвами. К ним относятся Micropsia, PyMicropsia, Arid Gopher и BarbWire, а также новый недокументированный бэкдор под названием Rusty Viper, написанный на Rust.
"В совокупности арсенал Arid Viper предоставляет разнообразные шпионские возможности, такие как запись звука с помощью микрофона, обнаружение вставленных флэш-накопителей и извлечение файлов с них, а также кража сохраненных учетных данных браузера, и это лишь некоторые из них", - отмечала ESET ранее в этом месяце.
