Security Joesは10月30日(現地時間)、「BiBi-Linux: A New Wiper Dropped By Pro-Hamas Hacktivist Group」において、イスラエル企業のフォレンジック調査において新しいLinuxベースのワイパーマルウェア「BiBi-Linux Wiper」を発見したと報じた。

  • BiBi-Linux: A New Wiper Dropped By Pro-Hamas Hacktivist Group

    BiBi-Linux: A New Wiper Dropped By Pro-Hamas Hacktivist Group

現在、Security Joesはイスラエルの国難に際し、イスラエル企業に影響を与える事案に自発的に対応しているという。その過程でイスラエル国内すべての企業を標的としている非常に特殊なマルウェアを発見したとしている。このマルウェアを使った攻撃を分析したところ、経済的利益ではなく政治的な目的がみられることから、ハマスに所属する脅威グループによって作成されたマルウェアの可能性があるとしている。

このマルウェアはデータの窃取や暗号化などを行わず、単純にファイルを破壊することでシステムに損害を与えるワイパーマルウェアとされる。分析を行った時点でこのマルウェアは文書化されておらず、VirusTotalでも検出されたのは1つだけだったという。このため、このマルウェアは比較的新しく、まだ広く配布されていないとみられている。また、このマルウェアは「bibi-linux.out」というファイル名であり、イスラエル首相のニックネームと同じ「bibi」が使われていることから、中東の政治情勢を考えると重要な意味があるとしている。

Security Joesの分析によると、このマルウェアはC/C++でコーディングされたx64 ELF形式の実行可能ファイルで、難読化やパッキングなどの保護対策はされていないという。また、拡張性は乏しくコマンドラインオプションから攻撃対象のフォルダを指定することしかできないとされる。加えてオペレーティングシステム全体を破壊するには管理者権限を必要とするという。

Security Joesはこのマルウェアに関するセキュリティ侵害インジケータ(IoC: Indicator of Compromise)と、Yaraルールを公開している。またこの攻撃で確認された戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)も合わせて公開しており、システム管理者やセキュリティ企業は必要に応じてこれら情報を活用することが望まれている。