s0589-sibot - RunkIntel

# Sibot > Tipo: **malware** · S0589 · [MITRE ATT&CK](https://attack.mitre.org/software/S0589) ## Descrição [[s0589-sibot|Sibot]] é um malware de dupla finalidade escrito em VBScript, projetado para estabelecer persistência em um sistema comprometido e também para baixar e executar payloads adicionais. A Microsoft descobriu três variantes do [[s0589-sibot|Sibot]] no início de 2021 durante sua investigação sobre o [[g0016-apt29|APT29]] e o [[solarwinds-compromise|SolarWinds Compromise]] - um dos maiores e mais sofisticados ataques de supply chain da história, que comprometeu aproximadamente 18.000 organizações globalmente ao infectar uma atualização do software SolarWinds Orion. O [[s0589-sibot|Sibot]] representa a terceira camada de malware implantada pelo [[g0016-apt29|APT29]] em vítimas de alto valor identificadas durante o comprometimento da SolarWinds - após o [[s0559-sunburst|SUNBURST]] (backdoor no update do Orion) e o [[s0560-teardrop|TEARDROP]] (loader em memória), o Sibot era implantado para garantir acesso persistente de longo prazo. As três variantes diferem em mecanismo de persistência: uma usa o registro do Windows, outra usa uma tarefa agendada, e a terceira abusa de permissões de serviços do Windows - demonstrando a sofisticação do [[g0016-apt29|APT29]] em manter múltiplos vetores de persistência simultâneos. O [[s0589-sibot|Sibot]] utiliza `mshta.exe` ([[t1218-005-mshta|T1218.005]]) e `rundll32.exe` ([[t1218-011-rundll32|T1218.011]]) como proxies de execução de código malicioso - uma técnica de Living-off-the-Land (LotL) que usa binários legítimos do Windows para executar código malicioso, dificultando a detecção por políticas de whitelisting. O uso de serviços web legítimos ([[t1102-web-service|T1102]]) como canais de C2 segue o padrão estabelecido pelo [[g0016-apt29|APT29]] de misturar tráfego malicioso com comúnicações legítimas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1012-query-registry|T1012 - Query Registry]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1102-web-service|T1102 - Web Service]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1218-005-mshta|T1218.005 - Mshta]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1070-indicator-removal|T1070 - Indicator Removal]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção - Monitorar execução de VBScript por `mshta.exe` e `rundll32.exe` com argumentos suspeitos ou que apontam para URLs - Detectar scripts VBScript obfuscados em chaves do registro ou tarefas agendadas - Alertar sobre tarefas agendadas que executam `mshta.exe` ou `rundll32.exe` com argumentos não padrão - Implementar regras de detecção baseadas em IoCs do SolarWinds públicados pela CISA (AA21-148A) - Monitorar comúnicações de `mshta.exe` ou `rundll32.exe` para serviços web externos ## Relevância LATAM/Brasil O caso SolarWinds demonstrou que nenhuma organização está imune a comprometimentos de supply chain sofisticados - o [[g0016-apt29|APT29]] comprometeu agências de segurança nacional dos EUA usando o mesmo software de monitoramento de TI amplamente utilizado no Brasil. O [[s0589-sibot|Sibot]] representa a camada de persistência avançada que o APT29 implanta após identificar alvos de alto valor, o que é diretamente relevante para organizações brasileiras que usam SolarWinds ou produtos similares. A CISA recomenda revisão de logs históricos do SolarWinds Orion em todas as organizações afetadas - recomendação aplicável globalmente, incluindo no Brasil. ## Referências - [MITRE ATT&CK - S0589](https://attack.mitre.org/software/S0589)