Sibot Malware

O Sibot é um carregador de malware usado nos estágios intermediários da cadeia de ataque. Ele representa uma das ferramentas ameaçadoras que têm sido usadas pela APT do Nobelium (UNC2542). Essa nova cepa de malware foi descoberta pela Microsoft, que continua monitorando as atividades do grupo de hackers desde o ataque massivo à cadeia de suprimentos contra a SolarWinds, realizado no ano passado. Como resultado da operação de ataque, 18.000 clientes da SolarWinds foram afetados. Naquela época, o coletivo de hackers anteriormente desconhecido recebeu o nome Solarigate.

 De acordo com as descobertas divulgadas pela Microsoft, o Sibot Malware é uma cepa de malware feita sob medida. Ele é implementado em VBScript, a linguagem de scripts ativos que a Microsoft desenvolveu usando o Visual Basic como uma diretriz. O Sibot foi projetado para deixar uma pequena pegada na máquina comprometida, reduzindo as chances de ser detectado. A técnica que permite isso consiste em permitir que o Sibot baixe e execute o código, exigindo que o endpoint comprometido seja alterado. Em vez disso, a ameaça de malware simplesmente atualiza a DLL hospedada. Além disso, o arquivo VBScript de Sibot finge ser uma tarefa legítima do Windows enquanto é armazenado no registro do sistema infectado ou em algum lugar do disco em um formato ofuscado.

 A principal tarefa do Sibot é estabelecer um mecanismo de persistência e, em seguida, buscar e executar a carga útil do próximo estágio dos servidores de Comando e Controle (C2, C&C). A persistência é obtida por meio de uma tarefa agendada que chama um aplicativo MSHTA (um aplicativo assinado da Microsoft que executa aplicativos HTML da Microsoft). O Malware Sibot é então iniciado pelo script ofuscado.