Spyder Loader

Megfigyelték, hogy a CuckooBees néven nyomon követett, továbbra is aktív támadási műveletek részeként egy új kártevő-eszközt telepítettek. A bántó fenyegetést Spyder Loader néven ismerik, és adatgyűjtési képességekkel rendelkezik. Meg kell jegyezni, hogy a Spyder Loader-t korábban az APT41 -hez kapcsolódó műveletek (Winnti, Barium, Wicked Panda és Bronze Atlas) használták, de ez a CuckooBees későbbi kiegészítése volt. A fenyegetésről és a támadási kampányról a biztonsági kutatók jelentésében közölték a részleteket.

Az APT41 kiberbűnözői csoport az egyik legrégebbi csoportnak számít, mivel feltehetően legalább 2007 óta működik. Emellett az egyik legaktívabb APT (Advanced Persistent Threat) fenyegetőcsoport, számos támadási kampányt folytat évek. Ami a CuckooBee-t illeti, a hadművelet már legalább 2019 óta a radar alatt repül, és úgy tűnik, hogy elsősorban kiválasztott hongkongi székhelyű entitásokat céloz meg.

A Spyder Loader részletei

A kutatók szerint a Spyder Loader egy kifinomult moduláris fenyegetés. Ráadásul a fenyegetést többször frissítették, és a hackerek folyamatosan javítják. A fenyegetés fő célja az érzékeny adatok begyűjtése, majd kiszűrése. A kiberbûnözõket érdeklõ három fõ adattípus a megsértett szervezet hitelesítõ adatai, az ügyfelek adatai és a hálózati architektúrára vonatkozó információk.

A Spyder Loader számos technikával van felszerelve az elemzés megakadályozására, például a ChaCha20 algoritmus használatával titkosítja és elhomályosítja a karakterláncokat. Ezenkívül a fenyegetés utasítható a hasznos 'wlbsctrl.dll' fájl törlésére, és további melléktermékek eltávolítására, amelyek felfedhetik tevékenységét vagy jelenlétét az eszközön.