Threat Database Malware Sibot Malware

Sibot Malware

Sibot er en malware-loader, der bruges i mellemfaser i angrebskæden. Det repræsenterer et af de truende værktøjer, der er observeret brugt af Nobelium (UNC2542) APT. Denne nye malware-stamme blev opdaget af Microsoft, der fortsætter med at overvåge hackergruppens aktiviteter lige siden det massive forsyningskædeangreb mod SolarWinds, der blev udført sidste år. Som et resultat af angrebsoperationen blev 18.000 SolarWinds-kunder påvirket. På det tidspunkt fik det tidligere ukendte hackerkollektiv navnet Solarigate.

 Ifølge de resultater, der er offentliggjort af Microsoft, er Sibot Malware en specialbygget malware-stamme. Det er implementeret i VBScript, Active Scripting-sproget, som Microsoft udviklede ved hjælp af Visual Basic som en retningslinje. Sibot er designet til at efterlade et lavt fodaftryk på den kompromitterede maskine, hvilket fører til reducerede chancer for at blive registreret. Den teknik, der tillader dette, består i at gøre det muligt for Sibot at downloade og køre kode med krav om, at det kompromitterede slutpunkt skal ændres. I stedet opdaterer malware-truslen simpelthen den hostede DLL. Desuden foregiver Sibots VBScript-fil at være en legitim Windows-opgave, mens den opbevares i enten registreringsdatabasen på det inficerede system eller et eller andet sted på disken i et tilsløret format.

 Sibots hovedopgave er at etablere en persistensmekanisme og derefter hente og udføre den næste trin nyttelast fra Command-and-Control (C2, C&C) serverne. Persistens opnås gennem en planlagt opgave, der kalder et MSHTA-program (et underskrevet Microsoft-program, der kører Microsoft HTML-applikationer). Sibot Malware initieres derefter af det tilslørede script.

Trending

Mest sete

Indlæser...