Threat Database Malware Logiciel malveillant Sibot

Logiciel malveillant Sibot

Sibot est un chargeur de malware qui est utilisé dans les étapes intermédiaires de la chaîne d'attaque. Il s'agit de l'un des outils menaçants utilisés par l'APT Nobelium (UNC2542). Cette nouvelle souche de malware a été découverte par Microsoft qui continue de surveiller les activités du groupe de hackers depuis l'attaque massive de la chaîne d'approvisionnement contre SolarWinds qui a été menée l'année dernière. Suite à l'attaque, 18 000 clients SolarWinds ont été touchés. À cette époque, le collectif de hackers jusqu'alors inconnu a reçu le nom de Solarigate.

 Selon les résultats divulgués par Microsoft, Sibot Malware est une souche de malware construite sur mesure. Il est implémenté dans VBScript, le langage Active Scripting développé par Microsoft en utilisant Visual Basic comme guide. Sibot est conçu pour laisser une faible empreinte sur la machine compromise, ce qui réduit les chances d'être détecté. La technique qui permet cela consiste à permettre à Sibot de télécharger et d'exécuter du code en exigeant que le point final compromis soit changé. Au lieu de cela, la menace malveillante met simplement à jour la DLL hébergée. De plus, le fichier VBScript de Sibot prétend être une tâche Windows légitime tout en étant stocké dans le registre du système infecté ou quelque part sur le disque dans un format obscurci.

 La tâche principale de Sibot est d'établir un mécanisme de persistance, puis de récupérer et d'exécuter la charge utile de l'étape suivante à partir des serveurs Command-and-Control (C2, C&C). La persistance est obtenue grâce à une tâche planifiée qui appelle une application MSHTA (une application Microsoft signée qui exécute des applications Microsoft HTML). Le logiciel malveillant Sibot est alors initié par le script obscurci.

Tendance

Le plus regardé

Chargement...