Spyder-lader

Er is waargenomen dat een nieuwe malwaretool wordt ingezet als onderdeel van de nog steeds actieve aanvalsoperaties die worden gevolgd als CuckooBees. De kwetsende dreiging staat bekend als de Spyder Loader en bevat mogelijkheden voor het verzamelen van gegevens. Opgemerkt moet worden dat de Spyder Loader in het verleden is gebruikt door operaties die verband houden met de APT41 (Winnti, Barium, Wicked Panda en Bronze Atlas), maar het was specifiek een latere toevoeging aan CuckooBees. Details over de dreiging en de aanvalscampagne werden verstrekt in een rapport van beveiligingsonderzoekers.

De cybercriminelengroep APT41 wordt beschouwd als een van de oudste, aangezien ze vermoedelijk al sinds 2007 actief is. Het is ook een van de meest actieve APT-bedreigingsgroepen (Advanced Persistent Threat), met talloze aanvalscampagnes over de jaar. Wat CuckooBee betreft, de operatie vliegt sinds ten minste 2019 grotendeels onder de radar en lijkt zich voornamelijk te richten op geselecteerde in Hong Kong gevestigde entiteiten.

De Spyder Loader-details

Volgens de onderzoekers is de Spyder Loader een geavanceerde modulaire bedreiging. Bovendien heeft de dreiging meerdere updates ondergaan en wordt deze nog steeds verbeterd door de hackers. Het belangrijkste doel van de dreiging is om gevoelige gegevens te verzamelen en vervolgens te exfiltreren. De drie belangrijkste soorten gegevens die de cybercriminelen interesseren, zijn de gegevens van de geschonden organisatie, klantgegevens en informatie over de netwerkarchitectuur.

De Spyder Loader is uitgerust met meerdere technieken om analyse te voorkomen, zoals het gebruik van het ChaCha20-algoritme om de strings te coderen en te verdoezelen. Bovendien kan de dreiging worden geïnstrueerd om het payload 'wlbsctrl.dll'-bestand te verwijderen en aanvullende artefacten te verwijderen die zijn acties of aanwezigheid op het apparaat zouden kunnen onthullen.