Spyder Loader
Bylo pozorováno, že byl nasazen nový malwarový nástroj jako součást stále aktivních útočných operací sledovaných jako CuckooBees. Škodlivá hrozba je známá jako Spyder Loader a nese schopnosti shromažďovat data. Je třeba poznamenat, že Spyder Loader byl v minulosti používán operacemi spojenými s APT41 (Winnti, Barium, Wicked Panda a Bronze Atlas), ale byl to pozdější přírůstek konkrétně do CuckooBees. Podrobnosti o hrozbě a útočné kampani poskytla zpráva bezpečnostních výzkumníků.
Kyberzločinecká skupina APT41 je považována za jednu z nejstarších, protože se předpokládá, že funguje minimálně od roku 2007. Je to také jedna z nejaktivnějších skupin hrozeb APT (Advanced Persistent Threat) s četnými útočnými kampaněmi proti let. Pokud jde o CuckooBee, operace probíhá převážně pod radarem minimálně od roku 2019 a zdá se, že primárně cílí na vybrané subjekty sídlící v Hongkongu.
Podrobnosti o Spyder Loader
Podle výzkumníků je Spyder Loader sofistikovanou modulární hrozbou. Kromě toho hrozba zaznamenala několik aktualizací a hackeři ji nadále vylepšují. Hlavním cílem hrozby je sklízet a následně exfiltrovat citlivá data. Tři hlavní typy dat, které kyberzločince zajímají, jsou přihlašovací údaje narušené organizace, zákaznická data a informace o její síťové architektuře.
Spyder Loader je vybaven mnoha technikami, které zabraňují analýze, jako je použití algoritmu ChaCha20 k šifrování a zatemňování jeho řetězců. Kromě toho může být hrozba instruována, aby smazala soubor 'wlbsctrl.dll' a odstranila další artefakty, které by mohly odhalit její akce nebo přítomnost na zařízení.