Spyder Loader

Беше наблюдавано, че нов инструмент за злонамерен софтуер се внедрява като част от все още активните операции за атака, проследявани като CuckooBees. Вредната заплаха е известна като Spyder Loader и носи възможности за събиране на данни. Трябва да се отбележи, че Spyder Loader е бил използван в миналото от операции, свързани с APT41 (Winnti, Barium, Wicked Panda и Bronze Atlas), но това беше по-късно допълнение специално към CuckooBees. Подробности за заплахата и атаката бяха предоставени в доклад на изследователи по сигурността.

Киберпрестъпната група APT41 се счита за една от най-старите, тъй като се смята, че действа поне от 2007 г. Тя също е една от най-активните групи за заплахи APT (Advanced Persistent Threat) с многобройни кампании за атаки над години. Що се отнася до CuckooBee, операцията лети най-вече под радара поне от 2019 г. и изглежда, че е насочена предимно към избрани базирани в Хонконг организации.

Подробности за Spyder Loader

Според изследователите Spyder Loader е сложна модулна заплаха. Освен това заплахата е претърпяла множество актуализации и продължава да се подобрява от хакерите. Основната цел на заплахата е да събере и след това да ексфилтрира чувствителни данни. Трите основни вида данни, които интересуват киберпрестъпниците, са идентификационните данни на нарушената организация, данните за клиентите и информация за нейната мрежова архитектура.

Spyder Loader е оборудван с множество техники за предотвратяване на анализ, като например използване на алгоритъма ChaCha20 за криптиране и обфускация на неговите низове. В допълнение, заплахата може да бъде инструктирана да изтрие полезния файл „wlbsctrl.dll“ и да премахне допълнителни артефакти, които биха могли да разкрият нейните действия или присъствие на устройството.