Погрузчик Спайдер

Было замечено, что новый вредоносный инструмент был развернут в рамках все еще активных атак, отслеживаемых как CuckooBees. Вредоносная угроза известна как Spyder Loader и обладает возможностями сбора данных. Следует отметить, что Spyder Loader использовался в прошлом для операций, связанных с APT41 (Winnti, Barium, Wicked Panda и Bronze Atlas), но он был более поздним дополнением конкретно к CuckooBees. Подробности об угрозе и кампании атаки приведены в отчете исследователей безопасности.

Киберпреступная группа APT41 считается одной из старейших, так как считается, что она действует как минимум с 2007 года. годы. Что касается CuckooBee, то эта операция в основном находится вне поля зрения по крайней мере с 2019 года и, похоже, в первую очередь нацелена на отдельные гонконгские организации.

Детали загрузчика Spyder

По словам исследователей, Spyder Loader представляет собой сложную модульную угрозу. Кроме того, эта угроза неоднократно обновлялась и хакеры продолжают улучшать ее. Основной целью угрозы является сбор, а затем эксфильтрация конфиденциальных данных. Киберпреступников интересуют три основных типа данных: учетные данные взломанной организации, данные клиентов и информация об архитектуре ее сети.

Spyder Loader оснащен несколькими методами предотвращения анализа, такими как использование алгоритма ChaCha20 для шифрования и запутывания его строк. Кроме того, угрозе можно дать указание удалить файл полезной нагрузки «wlbsctrl.dll» и удалить дополнительные артефакты, которые могут раскрыть ее действия или присутствие на устройстве.