Spyder Loader

Zaobserwowano, że nowe narzędzie złośliwego oprogramowania zostało wdrożone w ramach wciąż aktywnych operacji ataku śledzonych jako CuckooBees. Szkodliwe zagrożenie znane jest jako Spyder Loader i posiada możliwości gromadzenia danych. Należy zauważyć, że Spyder Loader był używany w przeszłości w operacjach związanych z APT41 (Winnti, Barium, Wicked Panda i Bronze Atlas), ale był późniejszym dodatkiem do CuckooBees. Szczegóły dotyczące zagrożenia i kampanii ataku zostały przedstawione w raporcie od badaczy bezpieczeństwa.

Grupa cyberprzestępcza APT41 jest uważana za jedną z najstarszych, ponieważ uważa się, że działa od co najmniej 2007 roku. Jest również jedną z najbardziej aktywnych grup zagrożeń APT (Advanced Persistent Threat), z licznymi kampaniami ataków na lat. Jeśli chodzi o CuckooBee, operacja ta od co najmniej 2019 r. jest w większości poza zasięgiem radaru i wydaje się, że jej celem są przede wszystkim wybrane podmioty z Hongkongu.

Szczegóły dotyczące ładowarki Spyder

Według naukowców Spyder Loader to wyrafinowane zagrożenie modułowe. Co więcej, zagrożenie doczekało się wielu aktualizacji i jest nadal ulepszane przez hakerów. Głównym celem zagrożenia jest zbieranie, a następnie eksfiltrowanie wrażliwych danych. Trzy główne typy danych, które interesują cyberprzestępców, to dane uwierzytelniające złamanej organizacji, dane klientów oraz informacje o architekturze jej sieci.

Spyder Loader jest wyposażony w wiele technik zapobiegających analizie, takich jak użycie algorytmu ChaCha20 do szyfrowania i zaciemniania jego ciągów. Ponadto zagrożenie może zostać poinstruowane, aby usunąć plik ładunku „wlbsctrl.dll” i usunąć dodatkowe artefakty, które mogłyby ujawnić jego działania lub obecność na urządzeniu.