Spyder Loader

Pastebėta, kad naujas kenkėjiškų programų įrankis buvo įdiegtas kaip dalis vis dar aktyvių atakų operacijų, stebimų kaip CuckooBees. Žalinga grėsmė žinoma kaip „Spyder Loader“ ir ji turi duomenų rinkimo galimybes. Reikia pažymėti, kad „Spyder Loader“ anksčiau buvo naudojamas su APT41 susijusioms operacijoms („Winnti“, „Barium“, „Wicked Panda“ ir „Bronze Atlas“), tačiau vėliau tai buvo specialiai „CuckooBees“ papildymas. Išsami informacija apie grėsmę ir atakos kampaniją buvo pateikta saugumo tyrėjų ataskaitoje.

APT41 kibernetinių nusikaltėlių grupuotė laikoma viena seniausių, nes manoma, kad ji veikė mažiausiai nuo 2007 m. Ji taip pat yra viena aktyviausių APT (Advanced Persistent Threat) grėsmių grupių, surengusi daugybę atakų kampanijų. metų. Kalbant apie „CuckooBee“, ši operacija daugiausia buvo stebima mažiausiai nuo 2019 m. ir atrodo, kad ji pirmiausia nukreipta į pasirinktus Honkonge įsikūrusius subjektus.

„Spyder Loader“ informacija

Tyrėjų teigimu, „Spyder Loader“ yra sudėtinga modulinė grėsmė. Be to, grėsmė buvo atnaujinta daug kartų, o įsilaužėliai ją toliau tobulina. Pagrindinis grėsmės tikslas yra surinkti ir tada išfiltruoti neskelbtinus duomenis. Trys pagrindiniai duomenų tipai, kurie domina kibernetinius nusikaltėlius, yra pažeistos organizacijos kredencialai, klientų duomenys ir informacija apie jos tinklo architektūrą.

„Spyder Loader“ turi daug metodų, kad būtų išvengta analizės, pvz., „ChaCha20“ algoritmo naudojimas jo eilutėms užšifruoti ir užmaskuoti. Be to, grėsmei gali būti nurodyta ištrinti naudingojo krovinio „wlbsctrl.dll“ failą ir pašalinti papildomus artefaktus, kurie gali atskleisti jos veiksmus arba buvimą įrenginyje.