Sibot Malware

Sibot è un caricatore di malware che viene utilizzato nelle fasi intermedie della catena di attacchi. Rappresenta uno degli strumenti minacciosi che sono stati osservati per essere utilizzati dall'APT Nobelium (UNC2542). Questo nuovo ceppo di malware è stato scoperto da Microsoft che continua a monitorare le attività del gruppo di hacker sin dal massiccio attacco alla catena di approvvigionamento contro SolarWinds che è stato effettuato lo scorso anno. Come risultato dell'operazione di attacco, sono stati colpiti 18.000 clienti SolarWinds. A quel tempo al collettivo di hacker precedentemente sconosciuto fu assegnato il nome Solarigate.

 Secondo i risultati divulgati da Microsoft, Sibot Malware è un ceppo di malware personalizzato. È implementato in VBScript, il linguaggio Active Scripting sviluppato da Microsoft utilizzando Visual Basic come linea guida. Sibot è progettato per lasciare un'impronta ridotta sulla macchina compromessa, riducendo le possibilità di essere rilevati. La tecnica che consente ciò consiste nel consentire a Sibot di scaricare ed eseguire codice richiedendo la modifica dell'endpoint compromesso. Invece, la minaccia malware aggiorna semplicemente la DLL ospitata. Inoltre, il file VBScript di Sibot finge di essere un'attività Windows legittima mentre viene memorizzato nel registro del sistema infetto o da qualche parte sul disco in un formato offuscato.

 Il compito principale di Sibot è stabilire un meccanismo di persistenza e quindi recuperare ed eseguire il payload della fase successiva dai server Command-and-Control (C2, C&C). La persistenza viene ottenuta tramite un'attività pianificata che richiama un'applicazione MSHTA (un'applicazione Microsoft firmata che esegue applicazioni HTML Microsoft). Sibot Malware viene quindi avviato dallo script offuscato.