Spyder Loader

Ένα νέο εργαλείο κακόβουλου λογισμικού έχει παρατηρηθεί ότι αναπτύσσεται ως μέρος των ενεργών ενεργειών επιθέσεων που παρακολουθούνται ως CuckooBees. Η επιβλαβής απειλή είναι γνωστή ως Spyder Loader και διαθέτει δυνατότητες συλλογής δεδομένων. Πρέπει να σημειωθεί ότι το Spyder Loader έχει χρησιμοποιηθεί στο παρελθόν από λειτουργίες που σχετίζονται με το APT41 (Winnti, Barium, Wicked Panda και Bronze Atlas), αλλά ήταν μια μεταγενέστερη προσθήκη ειδικά στο CuckooBees. Λεπτομέρειες για την απειλή και την εκστρατεία επίθεσης δόθηκαν σε έκθεση ερευνητών ασφαλείας.

Η κυβερνοεγκληματική ομάδα APT41 θεωρείται μια από τις παλαιότερες, καθώς πιστεύεται ότι λειτουργεί τουλάχιστον από το 2007. Είναι επίσης μια από τις πιο ενεργές ομάδες απειλών APT (Advanced Persistent Threat), με πολλές εκστρατείες επίθεσης σε χρόνια. Όσο για το CuckooBee, η επιχείρηση πετούσε κυρίως υπό το ραντάρ από τουλάχιστον το 2019 και φαίνεται ότι στοχεύει κυρίως επιλεγμένες οντότητες με έδρα το Χονγκ Κονγκ.

Λεπτομέρειες του Spyder Loader

Σύμφωνα με τους ερευνητές, το Spyder Loader είναι μια εξελιγμένη αρθρωτή απειλή. Επιπλέον, η απειλή έχει δει πολλές ενημερώσεις και συνεχίζει να βελτιώνεται από τους χάκερ. Ο κύριος στόχος της απειλής είναι η συγκομιδή και στη συνέχεια η διήθηση ευαίσθητων δεδομένων. Οι τρεις κύριοι τύποι δεδομένων που ενδιαφέρουν τους κυβερνοεγκληματίες είναι τα διαπιστευτήρια του οργανισμού που παραβιάστηκαν, τα δεδομένα πελατών και οι πληροφορίες σχετικά με την αρχιτεκτονική του δικτύου του.

Το Spyder Loader είναι εξοπλισμένο με πολλαπλές τεχνικές για την αποτροπή ανάλυσης, όπως η χρήση του αλγόριθμου ChaCha20 για την κρυπτογράφηση και τη συσκότιση των συμβολοσειρών του. Επιπλέον, η απειλή μπορεί να λάβει οδηγίες να διαγράψει το αρχείο ωφέλιμου φορτίου 'wlbsctrl.dll' και να αφαιρέσει πρόσθετα τεχνουργήματα που θα μπορούσαν να αποκαλύψουν τις ενέργειες ή την παρουσία της στη συσκευή.