Sibot Malware

Sibot is een malwarelader die wordt gebruikt in de middelste fasen van de aanvalsketen. Het vertegenwoordigt een van de bedreigende instrumenten waarvan is vastgesteld dat het wordt gebruikt door de Nobelium (UNC2542) APT. Deze nieuwe malwarestam werd ontdekt door Microsoft, die de activiteiten van de hackergroep blijft volgen sinds de massale supply chain-aanval op SolarWinds die vorig jaar werd uitgevoerd. Als gevolg van de aanvalsoperatie werden 18.000 SolarWinds-klanten getroffen. Op dat moment kreeg het voorheen onbekende hackercollectief de naam Solarigate.

 Volgens de bevindingen van Microsoft is Sibot Malware een op maat gemaakte malwarestam. Het is geïmplementeerd in VBScript, de Active Scripting-taal die Microsoft heeft ontwikkeld met behulp van Visual Basic als richtlijn. Sibot is ontworpen om een kleine voetafdruk achter te laten op de gecompromitteerde machine, waardoor de kans op detectie kleiner wordt. De techniek die dit mogelijk maakt, bestaat erin Sibot in staat te stellen code te downloaden en uit te voeren, waarbij het gecompromitteerde eindpunt moet worden gewijzigd. In plaats daarvan werkt de malwarebedreiging eenvoudigweg de gehoste DLL bij. Bovendien doet het VBScript-bestand van Sibot zich voor als een legitieme Windows-taak terwijl het wordt opgeslagen in het register van het geïnfecteerde systeem of ergens op de schijf in een versluierde indeling.

 De belangrijkste taak van Sibot is het opzetten van een persistentiemechanisme en vervolgens het ophalen en uitvoeren van de volgende fase van de payload van de Command-and-Control-servers (C2, C&C). Persistentie wordt bereikt door een geplande taak die een MSHTA-applicatie aanroept (een ondertekende Microsoft-applicatie die Microsoft HTML-applicaties uitvoert). De Sibot-malware wordt vervolgens geïnitieerd door het versluierde script.