Wiper

マルウェア「BiBi Wiper」の新バージョンが、ディスクのパーティションテーブルを削除してデータの復元を困難にし、標的となった被害者のダウンタイムを延長している。

イスラエルとアルバニアに対するBiBi Wiperの攻撃は、イランの諜報保安省(MOIS)に所属していると思われる「Void Manticore」(Storm-842)というイランのハッキング・グループと関連が疑われています。

BiBi Wiperは、2023年10月にSecurity Joesによって初めて発見され、その活動は、2023年11月にイスラエルのCERTから、同国の重要組織に対するBiBi Wiperを使用した大規模な攻撃的サイバー作戦に関する警告を促しました。

チェック・ポイント・リサーチの新しいレポートでは、BiBi ワイパーの新しい亜種と、同じ脅威グループが使用している他の2つのカスタム・ワイパー(Cl Wiper と Partition Wiper)が発見されています。

また、同レポートでは、Void Manticoreとイランの脅威グループである「Scarred Manticore」との間に、作戦上の重複があることも明らかにしており、両者の協力関係が示唆されています。

偽のペルソナと協力的な攻撃

チェックポイント社は、Void ManticoreがTelegram上の「Karma」ハクティビズム・グループの背後に隠れていると疑っています。

Karmaは、40を超えるイスラエルの組織に対する攻撃を主張し、Telegram上で盗まれたデータや消去されたドライブの証拠を公開することで、自分たちの活動の被害を増幅させています。

アルバニアの攻撃に使われたペルソナは『Homeland Justice』という名前で、盗まれたファイルの一部をTelegram上に流出させた。

この戦略は、Mandiantによると、XakNet Team、CyberArmyofRussia_Reborn、Solntsepekのようなハクティビスト・ブランドのTelegramチャンネルに隠れているSandworm(APT44)がとってきたアプローチに非常によく似ている。

もう1つの興味深い発見は、Void Manticoreは、Scarred Manticoreによって侵害されたインフラの制御を譲り渡したように見える場合があるということです。

Scarred Manticoreは、主にMicrosoft SharepointCVE-2019-0604の欠陥を活用し、SMBの横移動と電子メールの採取を行うことで、最初のアクセスを確立することに重点を置いている。

その後、侵害された組織はVoid Manticoreに引き渡され、Void Manticoreはペイロードインジェクションの段階、ネットワーク上での横移動、データワイパーの展開を行います。

Cooperation diagram between Scarred and Void Manticore
Scarred と Void Manticore の連携図
ソースはこちら:チェック・ポイント

ボイドマンティコアのツール

Void Manticoreは、ウェブシェル、手動削除ツール、カスタムワイパー、クレデンシャル検証ツールなど、さまざまなツールを使用して破壊活動を行います。

Karma Shellは、侵害されたWebサーバー上に展開される最初のペイロードであり、ディレクトリのリスト表示、プロセスの作成、ファイルのアップロード、サービスの管理が可能な、エラーページを装ったカスタムWebシェルです。

Commands executed through Karma Shell
Karma Shell を介して実行されたコマンド
Source:チェック・ポイント

チェック・ポイントが確認した新しいバージョンのBiBi Wiperは、システム以外のファイルをランダムなデータで破壊し、ランダムに生成された拡張子に「BiBi」という文字列を付加します。

BiBiには、Linux版とWindows版の両方が存在し、それぞれ独自の特徴や細かな動作の違いがある。

例えば、Linuxでは、BiBiは利用可能なCPUコア数に応じて複数のスレッドを起動し、ワイプ処理を高速化する。Windowsでは、BiBiは.sys、.exe、.dllファイルをスキップして、システムが起動不能になるのを避ける。

過去のマルウェアのバージョンと比較して、新しい亜種はイスラエル・システムのみをターゲットに設定されており、シャドウ・コピーを削除したり、システムのエラー回復画面を無効にしたりはしない。しかし、ディスクからパーティション情報を削除するようになったため、データの復旧がより困難になっている。

Partition wiping code in BiBi and Partition Wipers
BiBiとPartition Wipersのパーティション消去コード
ソースはこちら:チェック・ポイント

アルバニアのシステムに対する攻撃で初めて確認されたCI Wiperは、「ElRawDisk」ドライバを使用してワイプ操作を実行し、物理ドライブの内容を事前に定義されたバッファで上書きします。

パーティション・ワイパーは、特にシステムのパーティション・テーブルを標的とするため、ディスク・レイアウトを復元することができず、データ復元作業を複雑にし、被害を最大化する。

これらのワイパーからの攻撃は、マスターブートレコード(MBR)とGUIDパーティションテーブル(GPT)パーティションの両方に影響を与えるため、被害者が死のブルースクリーン(BSOD)になったり、再起動時にシステムがクラッシュしたりすることがよくあります。