Nhóm ứng phó sự cố của công ty bảo mật Security Joe (Israel) cho biết trong quá trình điều tra kỹ thuật số, họ đã tìm thấy phần mềm độc hại Wiper mới mà họ theo dõi với tên gọi BiBi-Linux Wiper.
Security Joe cho biết trong một báo cáo mới được công bố vào ngày 30/10: “Phần mềm độc hại này là một tệp thực thi x64 ELF và thiếu các biện pháp che giấu hoặc bảo vệ. Nó cho phép kẻ tấn công chỉ định các thư mục đích và có khả năng phá hủy toàn bộ hệ điều hành nếu chạy với quyền root”.
Các nhà nghiên cứu cũng cho biết BiBi-Linux Wiper cũng tận dụng đồng thời nhiều luồng và hàng đợi để làm hỏng các tệp, nâng cao tốc độ và phạm vi tiếp cận của nó. Các hành động của nó bao gồm: ghi đè các tệp, đổi tên tệp bằng một chuỗi ngẫu nhiên có chứa “BiBi” và loại từ một số tệp nhất định để không phá hủy.
Mặc dù chuỗi BiBi (trong tên tệp) có thể xuất hiện ngẫu nhiên nhưng nó có ý nghĩa quan trọng khi kết hợp với các chủ đề như chính trị ở khu vực Trung Đông, vì đây là biệt danh phổ biến được sử dụng cho Thủ tướng Israel, Benjamin Netanyahu.
Phần mềm độc hại được viết bằng C/C++ và có kích thước 1,2 MB, cho phép kẻ tấn công chỉ định các thư mục mục tiêu thông qua các tham số dòng lệnh, theo mặc định chọn thư mục gốc nếu không có đường dẫn nào được cung cấp, tuy nhiên thực hiện hành động ở cấp độ này yêu cầu quyền root.
Một khía cạnh đáng chú ý khác của BiBi-Linux Wiper là việc sử dụng lệnh Nohup trong quá trình thực thi để chạy nó không bị cản trở ở chế độ nền. Một số loại tệp bị bỏ qua khỏi bị ghi đè là những tệp có phần mở rộng .out hoặc .so.
Cuộc tấn công mạng này diễn ra khi công ty an ninh mạng Sekoia (Pháp) tiết lộ rằng nhóm tin tặc bị nghi ngờ có liên quan đến Hamas được gọi là Arid Viper (còn gọi là APT-C-23, Desert Falcon, Gaza Cyber Gang và Molerats) có thể được tổ chức thành hai nhóm nhỏ, với mỗi nhóm tập trung vào các hoạt động gián điệp mạng chống lại cả Israel và Palestine.
Theo các nhà nghiên cứu Tom Hegel và Aleksandar Milenkoski của hãng bảo mật SentinelOne (Mỹ) thì Arid Viper là nhóm tin tặc thực hiện các hoạt động gián điệp mạng và đánh cắp thông tin hoạt động ít nhất kể từ năm 2017, chủ yếu nhắm vào các mục tiêu ở Trung Đông. Chúng thường tấn công vào các cá nhân nổi bật của người Palestine và Israel đã được lựa chọn trước, thường từ các lĩnh vực quan trọng như các tổ chức quốc phòng và chính phủ, cơ quan thực thi pháp luật cũng như các đảng phái hoặc phong trào chính trị.
Arid Viper sử dụng nhiều loại phần mềm độc hại trong hoạt động của mình, bao gồm các ứng dụng stager, backdoor và phần mềm gián điệp di động dành cho nền tảng iOS và Android. Phần mềm độc hại của Arid Viper được tích cực duy trì và nâng cấp để đáp ứng yêu cầu hoạt động của nhóm. Nhóm tin tặc này đã liên tục thể hiện sự đổi mới bằng cách áp dụng các phương pháp phát triển phần mềm độc hại mới trên nhiều ngôn ngữ lập trình và tập lệnh, chẳng hạn như Delphi, Go, Python và C++.
Các chuỗi tấn công do nhóm này dàn dựng bao gồm các cuộc tấn công kỹ nghệ xã hội và lừa đảo là các biện pháp ban đầu để triển khai nhiều loại phần mềm độc hại tùy chỉnh nhằm theo dõi nạn nhân. Các phần mềm độc hại bao gồm: Micropsia, PyMicropsia, Arid Gopher, BarbWire và backdoor mới có tên là Rusty Viper được viết bằng Rust.
ESET cho biết: “Nhìn chung, kho vũ khí của Arid Viper cung cấp các khả năng gián điệp đa dạng như ghi âm bằng micrô, phát hiện ổ đĩa flash được lắp vào và trích xuất các tệp từ chúng cũng như đánh cắp thông tin xác thực trình duyệt đã lưu”.
Lê Thị Bích Hằng
15:00 | 13/10/2023
09:00 | 27/10/2023
21:00 | 16/11/2023
09:00 | 09/01/2024
13:00 | 10/03/2022
16:00 | 01/12/2023
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024