Spyder Loader

On täheldatud, et endiselt aktiivsete ründeoperatsioonide osana, mida jälgitakse nime all CuckooBees, on juurutatud uus pahavaratööriist. Kahjulikku ohtu tuntakse Spyder Loaderina ja sellel on andmete kogumise võimalused. Tuleb märkida, et Spyder Loaderit on varem kasutatud APT41 -ga seotud toimingutes (Winnti, Baarium, Wicked Panda ja Bronze Atlas), kuid see oli CuckooBeesi hilisem täiendus. Ohu ja rünnakukampaania üksikasjad esitati turvauurijate raportis.

Küberkurjategijate rühmitust APT41 peetakse üheks vanimaks, kuna arvatakse, et see on tegutsenud vähemalt 2007. aastast. See on ka üks aktiivsemaid APT (Advanced Persistent Threat) ohurühmitusi, millel on arvukalt rünnakukampaaniaid. aastat. Mis puutub CuckooBee, siis operatsioon on lennanud valdavalt radari all vähemalt alates 2019. aastast ja näib, et see on suunatud peamiselt valitud Hongkongis asuvatele üksustele.

Spyder Loaderi üksikasjad

Teadlaste sõnul on Spyder Loader keerukas modulaarne oht. Lisaks on ohtu näinud mitu värskendust ja häkkerid täiustavad seda jätkuvalt. Ohu peamine eesmärk on tundlike andmete kogumine ja seejärel väljafiltreerimine. Kolm peamist andmetüüpi, mis küberkurjategijaid huvitavad, on rikutud organisatsiooni volikirjad, kliendiandmed ja teave selle võrguarhitektuuri kohta.

Spyder Loader on analüüsi vältimiseks varustatud mitme tehnikaga, näiteks ChaCha20 algoritmi kasutamine stringide krüptimiseks ja häguseks muutmiseks. Lisaks saab ohule anda käsu kustutada kasuliku koormuse fail „wlbsctrl.dll” ja eemaldada täiendavad artefaktid, mis võivad paljastada selle tegevuse või olemasolu seadmes.