Sibot Malware

Sibot ist ein Malware-Loader, der in der Mitte der Angriffskette verwendet wird. Es ist eines der bedrohlichen Instrumente, die von der Nobelium (UNC2542) APT verwendet wurden. Diese neue Malware-Sorte wurde von Microsoft entdeckt, das die Aktivitäten der Hacker-Gruppe seit dem massiven Supply-Chain-Angriff gegen SolarWinds im letzten Jahr weiterhin überwacht. Infolge des Angriffs waren 18.000 SolarWinds-Kunden betroffen. Zu dieser Zeit erhielt das bisher unbekannte Hacker-Kollektiv den Namen Solarigate.

 Nach den von Microsoft veröffentlichten Ergebnissen handelt es sich bei Sibot Malware um eine speziell entwickelte Malware-Sorte. Es ist in VBScript implementiert, der Active Scripting-Sprache, die Microsoft unter Verwendung von Visual Basic als Richtlinie entwickelt hat. Sibot wurde entwickelt, um einen geringen Platzbedarf auf der gefährdeten Maschine zu hinterlassen, was zu einer verringerten Wahrscheinlichkeit führt, erkannt zu werden. Die Technik, die dies ermöglicht, besteht darin, Sibot das Herunterladen und Ausführen von Code zu ermöglichen, ohne dass der gefährdete Endpunkt geändert werden muss. Stattdessen aktualisiert die Malware-Bedrohung einfach die gehostete DLL. Darüber hinaus gibt die VBScript-Datei von Sibot vor, eine legitime Windows-Aufgabe zu sein, während sie entweder in der Registrierung des infizierten Systems oder irgendwo auf der Festplatte in einem verschleierten Format gespeichert wird.

 Die Hauptaufgabe von Sibot besteht darin, einen Persistenzmechanismus einzurichten und dann die Nutzdaten der nächsten Stufe von den Command-and-Control-Servern (C2, C & C) abzurufen und auszuführen. Die Persistenz wird durch eine geplante Aufgabe erreicht, die eine MSHTA-Anwendung aufruft (eine signierte Microsoft-Anwendung, in der Microsoft HTML-Anwendungen ausgeführt werden). Die Sibot-Malware wird dann vom verschleierten Skript initiiert.