Spyder Loader

Ir novērots, ka joprojām aktīvās uzbrukuma operācijas, kas tiek izsekotas kā CuckooBees, ir izvietots jauns ļaunprātīgas programmatūras rīks. Kaitīgais drauds ir pazīstams kā Spyder Loader, un tam ir datu vākšanas iespējas. Jāatzīmē, ka Spyder Loader agrāk tika izmantots operācijām, kas saistītas ar APT41 (Winnti, Barium, Wicked Panda un Bronze Atlas), taču tas bija vēlāks CuckooBees papildinājums. Sīkāka informācija par draudiem un uzbrukuma kampaņu tika sniegta drošības pētnieku ziņojumā.

APT41 kibernoziedznieku grupa tiek uzskatīta par vienu no vecākajām, jo tiek uzskatīts, ka tā ir darbojusies vismaz kopš 2007. gadiem. Kas attiecas uz CuckooBee, operācija lielākoties ir lidojusi zem radara vismaz kopš 2019. gada, un šķiet, ka tā galvenokārt ir vērsta uz izvēlētām Honkongā bāzētām vienībām.

Spyder iekrāvēja informācija

Pēc pētnieku domām, Spyder Loader ir sarežģīts moduļu drauds. Turklāt draudi ir piedzīvojuši vairākus atjauninājumus, un hakeri tos turpina uzlabot. Apdraudējuma galvenais mērķis ir ievākt un pēc tam izfiltrēt sensitīvus datus. Trīs galvenie datu veidi, kas interesē kibernoziedzniekus, ir pārkāptās organizācijas akreditācijas dati, klientu dati un informācija par tās tīkla arhitektūru.

Spyder Loader ir aprīkots ar vairākām metodēm, lai novērstu analīzi, piemēram, izmantojot ChaCha20 algoritmu, lai šifrētu un aptumšotu tā virknes. Turklāt draudam var dot norādījumu izdzēst lietderīgās slodzes failu “wlbsctrl.dll” un noņemt papildu artefaktus, kas varētu atklāt tā darbības vai klātbūtni ierīcē.