Une nouvelle version du malware Bibi Wiper supprime maintenant la table de partition de disque pour rendre la restauration des données plus difficile, prolongeant le temps d’arrêt pour les victimes ciblées.

Les attaques de Bibi Wiper contre Israël et l’Albanie sont liées à un groupe de piratage iranien présumé nommé « Void Manticore » (Storm-842), qui serait affilié au ministère iranien du Renseignement et de la Sécurité (MOIS).

BiBi Wiper a été repéré pour la première fois par Security Joes en octobre 2023, ses activités ayant déclenché une alerte du CERT israélien en novembre 2023 concernant des cyberopérations offensives à grande échelle l’utilisant contre des organisations critiques dans le pays.

Un nouveau rapport de Check Point Research révèle de nouvelles variantes de l’essuie-glace BiBi et de deux autres essuie-glaces personnalisés utilisés par le même groupe de menaces, à savoir l’essuie-glace Cl et l’essuie-glace de partition.

Le rapport met également en évidence des chevauchements opérationnels entre Void Manticore et « Scarred Manticore », un autre groupe iranien menaçant, suggérant une coopération entre les deux.

Fausses personnalités et attaques coopératives
CheckPoint soupçonne Void Manticore de se cacher derrière le groupe d’hacktivisme « Karma » sur Telegram, qui est apparu après l’attaque du Hamas contre Israël en octobre.

Karma a revendiqué des attaques contre plus de 40 organisations israéliennes, publiant des données volées ou des preuves de lecteurs effacés sur Telegram pour amplifier les dégâts de leurs opérations.

Un personnage utilisé pour les attaques albanaises s’appelle « Homeland Justice », qui a divulgué certains des fichiers volés sur Telegram.

Cette stratégie est très similaire à l’approche suivie par Sandworm (APT44), qui, selon Mandiant, se cache derrière des chaînes Telegram de marque hacktiviste comme Xaknet Team, CyberArmyofRussia_Reborn et Solntsepek.

Une autre découverte intéressante est que Void Manticore semble avoir cédé le contrôle de l’infrastructure compromise par Scarred Manticore dans certains cas.

Scarred Manticore se concentre sur l’établissement de l’accès initial, principalement en exploitant la faille Microsoft Sharepoint CVE-2019-0604, en effectuant un mouvement latéral SMB et en récupérant les e-mails.

Les organisations compromises sont ensuite confiées à Void Manticore, qui effectue les étapes d’injection de la charge utile, les mouvements latéraux sur le réseau et le déploiement des essuie-glaces de données.

Diagramme de coopération entre Manticore Cicatricielle et Vide

Outils de Manticore du vide
Void Manticore utilise divers outils pour effectuer ses opérations destructrices, notamment des shells Web, des outils de suppression manuelle, des essuie-glaces personnalisés et des outils de vérification des informations d’identification.

Karma Shell est la première charge utile à être déployée sur un serveur Web compromis, qui est un shell Web personnalisé déguisé en page d’erreur qui peut répertorier les répertoires, créer des processus, télécharger des fichiers et gérer les services.

Commandes exécutées via Karma Shell

Les nouvelles versions de l’essuie-glace BiBi vues par CheckPoint corrompent les fichiers non système avec des données aléatoires et ajoutent une extension générée aléatoirement contenant la chaîne « BiBi ».

BiBi a à la fois une variante Linux et une variante Windows, avec des caractéristiques uniques et des différences opérationnelles mineures réservées à chacune.

Par exemple, sous Linux, BiBi générera plusieurs threads en fonction du nombre de cœurs de processeur disponibles pour accélérer le processus d’effacement. Sous Windows, BiBi sautera .sys, .exe, et .fichiers dll pour éviter de rendre le système non amorçable.

Par rapport aux anciennes versions de logiciels malveillants, les nouvelles variantes sont configurées uniquement pour cibler les systèmes israéliens et ne suppriment pas les clichés instantanés ni ne désactivent l’écran de récupération d’erreur du système. Cependant, ils suppriment désormais les informations de partition du disque, ce qui rend plus difficile la récupération des données.

Code d’effacement de partition dans BiBi et Essuie-glaces de partition

L’essuie-glace CI, vu pour la première fois dans les attaques contre les systèmes albanais, utilise le pilote ‘ElRawDisk’ pour effectuer des opérations d’essuyage, écrasant le contenu du disque physique avec un tampon prédéfini.

Les essuie-glaces de partition ciblent spécifiquement la table de partition du système, de sorte que la disposition du disque ne peut pas être récupérée, compliquant les efforts de restauration des données et maximisant les dommages causés.

Les attaques de ces essuie-glaces entraînent souvent un écran bleu de la mort (BSOD) ou des plantages du système au redémarrage, car elles affectent à la fois les partitions Master Boot Record (MBR) et GUID Partition Table (GPT).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *