Търсене
Close this search box.

Група хактивисти атакува Израел с Arid Viper

Наблюдава се, че хактивистка група, подкрепяща Хамас, използва нов зловреден софтуер, базиран на Linux, наречен BiBi-Linux Wiper, насочен към израелски организации в условията на продължаващата война между Израел и Хамас.

„Този зловреден софтуер е x64 ELF изпълним файл, в който липсват замаскиране или защитни мерки“, се казва в нов доклад на Security Joes, публикуван днес. „Той позволява на атакуващите да посочват целеви папки и потенциално може да унищожи цяла операционна система, ако бъде стартиран с права на root.“

Някои от другите му възможности включват многонишковост за едновременно повреждане на файлове, за да се увеличи скоростта и обхватът му, презаписване на файлове, преименуване с разширение, съдържащо твърдо кодирания низ „BiBi“ (във формат „[RANDOM_NAME].BiBi[NUMBER]“), и изключване на определени типове файлове от повреждане.

„Въпреки че низът „bibi“ (в името на файла), може да изглежда случаен, той има значително значение, когато се смесва с теми като политиката в Близкия изток, тъй като е често използван прякор на израелския министър-председател Бенямин Нетаняху“, добави компанията за киберсигурност.

Разрушителният зловреден софтуер, кодиран на C/C++ и с размер на файла 1,2 MB, позволява на извършителя на заплахата да посочва целеви папки чрез параметри от командния ред, като по подразбиране избира главната директория („/“), ако не е посочен път. Извършването на действието на това ниво обаче изисква права на root.

Друг забележителен аспект на BiBi-Linux Wiper е използването на командата nohup по време на изпълнението, за да може да се изпълнява безпрепятствено във фонов режим. Някои от типовете файлове, които се пропускат да бъдат презаписани, са тези с разширения .out или .so.

„Това е така, защото заплахата разчита на файлове като bibi-linux.out и nohup.out за своята работа, както и на споделени библиотеки, които са от съществено значение за операционната система Unix/Linux (.so файлове)“, заявиха от компанията.

Разработката идва в момент, в който Sekoia разкри, че заподозреният извършител, свързан с Хамас, известен като Arid Viper (известен още като APT-C-23, Desert Falcon, Gaza Cyber Gang и Molerats), вероятно е организиран като две подгрупи, като всеки клъстер е фокусиран върху кибершпионски дейности съответно срещу Израел и Палестина.

„Насочването към отделни лица е обичайна практика на Arid Viper“, заявиха изследователите от SentinelOne Том Хегел и Александър Миленкоски в анализ, публикуван миналата седмица.

„Това включва предварително подбрани палестински и израелски високопоставени цели, както и по-широки групи, обикновено от критични сектори като отбранителни и правителствени организации, правоприлагащи органи и политически партии или движения.“

Веригите за атаки, организирани от групата, включват социално инженерство и фишинг атаки като първоначални вектори за проникване, за да се разгърне голямо разнообразие от персонализиран зловреден софтуер за шпиониране на своите жертви. Той включва Micropsia, PyMicropsia, Arid Gopher и BarbWire, както и нов недокументиран backdoor, наречен Rusty Viper, който е написан на Rust.

„В съвкупност арсеналът на Arid Viper предоставя разнообразни възможности за шпиониране, като например запис на аудио с микрофон, откриване на поставени флаш памети и ексфилтриране на файлове от тях и кражба на запаметени идентификационни данни на браузъра, и това са само някои от тях“, отбеляза ESET по-рано този месец.

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
Бъдете социални
Още по темата
18/04/2024

Болница в Кан с 869 легла и...

Болница „Симон Вейл“ в Кан (CHC-SV)...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!