Spyder Loader

Et nytt skadelig programvareverktøy har blitt observert å bli distribuert som en del av de fortsatt aktive angrepsoperasjonene sporet som CuckooBees. Den sårende trusselen er kjent som Spyder Loader, og den har datainnsamlingsmuligheter. Det må bemerkes at Spyder Loader har blitt brukt i det siste av operasjoner knyttet til APT41 (Winnti, Barium, Wicked Panda og Bronze Atlas), men det var et senere tillegg til CuckooBees spesifikt. Detaljer om trusselen og angrepskampanjen ble gitt i en rapport fra sikkerhetsforskere.

Den nettkriminelle gruppen APT41 anses å være en av de eldste, ettersom den antas å ha vært i drift siden minst 2007. Den er også en av de mest aktive APT-trusselgruppene (Advanced Persistent Threat), med en rekke angrepskampanjer over år. Når det gjelder CuckooBee, har operasjonen for det meste flydd under radaren siden minst 2019, og det ser ut til å primært være rettet mot utvalgte Hong Kong-baserte enheter.

Spyder Loader-detaljer

Ifølge forskerne er Spyder Loader en sofistikert modulær trussel. På toppen av det har trusselen sett flere oppdateringer og fortsetter å bli forbedret av hackerne. Hovedmålet med trusselen er å høste og deretter eksfiltrere sensitive data. De tre hovedtypene data som interesserer nettkriminelle, er den overtrådte organisasjonens legitimasjon, kundedata og informasjon om nettverksarkitekturen.

Spyder Loader er utstyrt med flere teknikker for å forhindre analyse, for eksempel å bruke ChaCha20-algoritmen for å kryptere og tilsløre strengene. I tillegg kan trusselen bli bedt om å slette nyttelasten 'wlbsctrl.dll'-filen og fjerne ytterligere artefakter som kan avsløre handlingene eller tilstedeværelsen på enheten.