Nhóm ứng phó sự cố của công ty bảo mật Security Joe (Israel) cho biết trong quá trình điều tra kỹ thuật số, họ đã tìm thấy phần mềm độc hại mới mà họ theo dõi với tên gọi BiBi-Linux Wiper.
Security Joe cho biết trong một báo cáo mới được công bố vào ngày 30/10: “Phần mềm độc hại này là một tệp thực thi x64 ELF và thiếu các biện pháp che giấu hoặc bảo vệ. Nó cho phép kẻ tấn công chỉ định các thư mục đích và có khả năng phá hủy toàn bộ hệ điều hành nếu chạy với quyền ”.
Các nhà nghiên cứu cũng cho biết BiBi-Linux Wiper cũng tận dụng đồng thời nhiều luồng và hàng đợi để làm hỏng các tệp, nâng cao tốc độ và phạm vi tiếp cận của nó. Các hành động của nó bao gồm: ghi đè các tệp, đổi tên tệp bằng một chuỗi ngẫu nhiên có chứa “BiBi” và loại từ một số tệp nhất định để không phá hủy.
Mặc dù chuỗi BiBi (trong tên tệp) có thể xuất hiện ngẫu nhiên nhưng nó có ý nghĩa quan trọng khi kết hợp với các chủ đề như chính trị ở khu vực Trung Đông, vì đây là biệt danh phổ biến được sử dụng cho Thủ tướng Israel, Benjamin Netanyahu.
Phần mềm độc hại được viết bằng C/C++ và có kích thước 1,2 MB, cho phép kẻ tấn công chỉ định các thư mục mục tiêu thông qua các tham số dòng lệnh, theo mặc định chọn thư mục gốc nếu không có đường dẫn nào được cung cấp, tuy nhiên thực hiện hành động ở cấp độ này yêu cầu quyền root.
Một khía cạnh đáng chú ý khác của BiBi- Wiper là việc sử dụng lệnh Nohup trong quá trình thực thi để chạy nó không bị cản trở ở chế độ nền. Một số loại tệp bị bỏ qua khỏi bị ghi đè là những tệp có phần mở rộng .out hoặc .so.
Cuộc tấn công mạng này diễn ra khi công ty an ninh mạng Sekoia (Pháp) tiết lộ rằng nhóm tin tặc bị nghi ngờ có liên quan đến Hamas được gọi là Arid Viper (còn gọi là APT-C-23, Desert Falcon, Gaza Cyber Gang và Molerats) có thể được tổ chức thành hai nhóm nhỏ, với mỗi nhóm tập trung vào các hoạt động gián điệp mạng chống lại cả và Palestine.
Theo các nhà nghiên cứu Tom Hegel và Aleksandar Milenkoski của hãng bảo mật SentinelOne (Mỹ) thì Arid Viper là nhóm tin tặc thực hiện các hoạt động gián điệp mạng và đánh cắp thông tin hoạt động ít nhất kể từ năm 2017, chủ yếu nhắm vào các mục tiêu ở Trung Đông. Chúng thường tấn công vào các cá nhân nổi bật của người Palestine và Israel đã được lựa chọn trước, thường từ các lĩnh vực quan trọng như các tổ chức quốc phòng và chính phủ, cơ quan thực thi pháp luật cũng như các đảng phái hoặc phong trào chính trị.
Arid Viper sử dụng nhiều loại phần mềm độc hại trong hoạt động của mình, bao gồm các ứng dụng stager, backdoor và phần mềm gián điệp di động dành cho nền tảng iOS và Android. Phần mềm độc hại của Arid Viper được tích cực duy trì và nâng cấp để đáp ứng yêu cầu hoạt động của nhóm. Nhóm tin tặc này đã liên tục thể hiện sự đổi mới bằng cách áp dụng các phương pháp phát triển phần mềm độc hại mới trên nhiều ngôn ngữ lập trình và tập lệnh, chẳng hạn như Delphi, Go, và C++.
Các chuỗi tấn công do nhóm này dàn dựng bao gồm các cuộc tấn công kỹ nghệ xã hội và lừa đảo là các biện pháp ban đầu để triển khai nhiều loại phần mềm độc hại tùy chỉnh nhằm theo dõi nạn nhân. Các phần mềm độc hại bao gồm: Micropsia, PyMicropsia, Arid Gopher, BarbWire và backdoor mới có tên là Rusty Viper được viết bằng Rust.
ESET cho biết: “Nhìn chung, kho vũ khí của Arid Viper cung cấp các khả năng gián điệp đa dạng như ghi âm bằng micrô, phát hiện ổ đĩa flash được lắp vào và trích xuất các tệp từ chúng cũng như đánh cắp thông tin xác thực trình duyệt đã lưu”.
Lê Thị Bích Hằng
15:00 | 13/10/2023
09:00 | 27/10/2023
21:00 | 16/11/2023
09:00 | 09/01/2024
13:00 | 10/03/2022
16:00 | 01/12/2023
09:00 | 05/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Halcyon (Mỹ) đã phát hiện ra một phiên bản mới của mã độc tống tiền Qilin với các tính năng mã hóa nâng cao, lẩn tránh bị phát hiện bởi các công cụ bảo mật và phá vỡ cơ chế phục hồi dữ liệu.
07:00 | 23/10/2024
Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.
07:00 | 10/09/2024
Trong bối cảnh chuyển đổi số và hội nhập quốc tế ngày càng sâu rộng, Việt Nam đang trở thành mục tiêu hấp dẫn cho các cuộc tấn công chuỗi cung ứng tinh vi. Các doanh nghiệp Việt từ các tổ chức nhỏ đến các tập đoàn lớn đều phải đối mặt với nguy cơ bị tấn công qua những lỗ hổng bảo mật trong hệ thống của đối tác hay nhà cung cấp.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024
