Sibot Malware

Sibot - это загрузчик вредоносных программ, который используется на средних этапах цепочки атаки. Он представляет собой один из опасных инструментов, которые, как было замечено, использовались APT Nobelium (UNC2542). Этот новый штамм вредоносного ПО был обнаружен Microsoft, которая продолжает отслеживать деятельность хакерской группы с момента массированной атаки цепочки поставок на SolarWinds, которая была проведена в прошлом году. В результате операции атаки пострадали 18 000 клиентов SolarWinds. Тогда неизвестному ранее хакерскому коллективу было присвоено имя Solarigate .

 Согласно выводам, опубликованным Microsoft, Sibot Malware представляет собой специально созданный штамм вредоносного ПО. Он реализован на VBScript, языке активных сценариев, который Microsoft разработала с использованием Visual Basic в качестве ориентира. Sibot разработан таким образом, чтобы не оставлять следов на скомпрометированной машине, что снижает шансы быть обнаруженным. Техника, которая позволяет это сделать, заключается в том, чтобы Sibot мог загружать и запускать код с требованием изменения скомпрометированной конечной точки. Вместо этого вредоносная программа просто обновляет размещенную DLL. Кроме того, файл VBScript Sibot выдает себя за законную задачу Windows, при этом он хранится либо в реестре зараженной системы, либо где-то на диске в запутанном формате.

 Основная задача Sibot - установить механизм устойчивости, а затем извлечь и выполнить полезную нагрузку следующего этапа с серверов Command-and-Control (C2, C&C). Постоянство достигается с помощью запланированной задачи, которая вызывает приложение MSHTA (подписанное приложение Microsoft, которое запускает приложения Microsoft HTML). Затем вредоносное ПО Sibot запускается обфусцированным сценарием.