Hamas yanlısı bir hacktivist grubun, Linux tabanlı yeni bir silme kötü amaçlı yazılımını kullandığı gözlemlendi. BiBi-Linux SilecekDevam eden İsrail-Hamas savaşının ortasında İsrail varlıklarını hedef alıyor.
Security Joes bugün yayınlanan yeni bir raporda, “Bu kötü amaçlı yazılım x64 ELF çalıştırılabilir, gizleme veya koruyucu önlemlerden yoksundur” dedi. “Saldırganların hedef klasörleri belirlemesine olanak tanıyor ve kök izinleriyle çalıştırıldığında potansiyel olarak tüm işletim sistemini yok edebilir.”
Diğer yeteneklerinden bazıları, hızını ve erişimini artırmak için bozuk dosyalara aynı anda çoklu iş parçacığı işlemek, dosyaların üzerine yazmak, bunları sabit kodlu “BiBi” dizesini içeren bir uzantıyla yeniden adlandırmak (“biBi” biçiminde) içerir.[RANDOM_NAME].BiBi[NUMBER]”) ve belirli dosya türlerinin bozulmasını engellemek.
“(Dosya adında) ‘bibi’ dizisi rastgele görünse de, İsrail Başbakanı Binyamin Netanyahu için kullanılan yaygın bir takma ad olduğundan, Orta Doğu’daki siyaset gibi konularla karıştırıldığında önemli bir anlam taşır.” Siber güvenlik şirketi ekledi.
C/C++ dilinde kodlanan ve 1,2 MB dosya boyutu taşıyan yıkıcı kötü amaçlı yazılım, tehdit aktörünün varsayılan olarak kök dizini (“https://thehackernews.com/”) seçerek komut satırı parametreleri aracılığıyla hedef klasörleri belirlemesine olanak tanır. ) herhangi bir yol sağlanmadıysa. Ancak eylemin bu düzeyde gerçekleştirilmesi root izinlerini gerektirir.
BiBi-Linux Wiper’ın dikkat çeken bir diğer özelliği, arka planda engellenmeden çalışmasını sağlamak için yürütme sırasında nohup komutunu kullanmasıdır. Üzerine yazılması atlanan dosya türlerinden bazıları .out veya .so uzantılı olanlardır.
Şirket, “Bunun nedeni, tehdidin çalışması için bibi-linux.out ve nohup.out gibi dosyalara ve Unix/Linux işletim sistemi için gerekli olan paylaşılan kütüphanelere (.so dosyaları) dayanmasıdır” dedi.
Bu gelişme, Sekoia’nın, Kurak Engerek (diğer adıyla APT-C-23, Desert Falcon, Gazze Siber Çetesi ve Moleratlar) olarak bilinen Hamas’a bağlı olduğundan şüphelenilen tehdit aktörünün muhtemelen her bir kümenin odaklandığı iki alt grup halinde organize edildiğini ortaya çıkarmasıyla geldi. Sırasıyla İsrail ve Filistin’e karşı siber casusluk faaliyetleri.
SentinelOne araştırmacıları Tom Hegel ve Aleksandar Milenkoski, geçen hafta yayınlanan bir analizde “Bireyleri hedeflemek Kurak Engerek’in yaygın bir uygulamasıdır” dedi.
“Bu, önceden seçilmiş Filistinli ve İsrailli yüksek profilli hedeflerin yanı sıra, genellikle savunma ve hükümet kuruluşları, kolluk kuvvetleri ve siyasi partiler veya hareketler gibi kritik sektörlerden daha geniş grupları da içeriyor.”
Grup tarafından düzenlenen saldırı zincirleri, kurbanlarını gözetlemek amacıyla çok çeşitli özel kötü amaçlı yazılımları dağıtmak için ilk izinsiz giriş vektörleri olarak sosyal mühendislik ve kimlik avı saldırılarını içeriyor. Bu, Micropsia, PyMicropsia, Arid Gopher ve BarbWire’ın yanı sıra Rust’ta yazılmış, Rusty Viper adlı yeni, belgelenmemiş bir arka kapıyı içermektedir.
ESET, bu ayın başlarında şunları kaydetti: “Toplu olarak, Arid Viper’ın cephaneliği, mikrofonla ses kaydetme, takılan flash sürücüleri tespit etme ve onlardan dosya çıkarma ve kayıtlı tarayıcı kimlik bilgilerini çalma gibi çeşitli casusluk yetenekleri sağlıyor.”