Threat Database Malware Sibot Malware

Sibot Malware

Sibot es un cargador de malware que se utiliza en las etapas intermedias de la cadena de ataque. Representa una de las herramientas amenazantes que se ha observado que utiliza la APT Nobelium (UNC2542). Esta nueva cepa de malware fue descubierta por Microsoft, que continúa monitoreando las actividades del grupo de hackers desde el ataque masivo a la cadena de suministro contra SolarWinds que se llevó a cabo el año pasado. Como resultado de la operación de ataque, se vieron afectados 18.000 clientes de SolarWinds. En ese momento, al colectivo de hackers previamente desconocido se le asignó el nombre de Solarigate.

 Según los hallazgos divulgados por Microsoft, Sibot Malware es una cepa de malware creada a medida. Está implementado en VBScript, el lenguaje Active Scripting que Microsoft desarrolló utilizando Visual Basic como guía. Sibot está diseñado para dejar una huella pequeña en la máquina comprometida, lo que reduce las posibilidades de ser detectado. La técnica que permite esto consiste en permitir que Sibot descargue y ejecute código con la necesidad de cambiar el punto final comprometido. En cambio, la amenaza de malware simplemente actualiza la DLL alojada. Además, el archivo VBScript de Sibot pretende ser una tarea legítima de Windows mientras se almacena en el registro del sistema infectado o en algún lugar del disco en un formato ofuscado.

 La tarea principal de Sibot es establecer un mecanismo de persistencia y luego buscar y ejecutar la carga útil de la siguiente etapa desde los servidores de Comando y Control (C2, C&C). La persistencia se logra a través de una tarea programada que llama a una aplicación MSHTA (una aplicación firmada de Microsoft que ejecuta aplicaciones HTML de Microsoft). A continuación, el script ofuscado inicia Sibot Malware.

Tendencias

Mas Visto

Cargando...