Spyder Loader
Bolo pozorované, že nový malvérový nástroj bol nasadený ako súčasť stále aktívnych útočných operácií sledovaných ako CuckooBees. Škodlivá hrozba je známa ako Spyder Loader a obsahuje funkcie zhromažďovania údajov. Je potrebné poznamenať, že Spyder Loader bol v minulosti používaný operáciami spojenými s APT41 (Winnti, Barium, Wicked Panda a Bronze Atlas), ale bol to neskorší prírastok špecificky pre CuckooBees. Podrobnosti o hrozbe a útočnej kampani boli uvedené v správe bezpečnostných výskumníkov.
Kyberzločinecká skupina APT41 sa považuje za jednu z najstarších, pretože sa predpokladá, že funguje minimálne od roku 2007. Je tiež jednou z najaktívnejších skupín hrozieb APT (Advanced Persistent Threat) s početnými útočnými kampaňami rokov. Pokiaľ ide o CuckooBee, operácia prebieha väčšinou pod radarom minimálne od roku 2019 a zdá sa, že sa primárne zameriava na vybrané subjekty so sídlom v Hongkongu.
Podrobnosti o Spyder Loader
Podľa výskumníkov je Spyder Loader sofistikovanou modulárnou hrozbou. Okrem toho hrozba zaznamenala viacero aktualizácií a hackeri ju naďalej vylepšujú. Hlavným cieľom hrozby je zbierať a následne exfiltrovať citlivé dáta. Tri hlavné typy údajov, ktoré kyberzločincov zaujímajú, sú prihlasovacie údaje organizácie, údaje o zákazníkoch a informácie o jej sieťovej architektúre.
Spyder Loader je vybavený viacerými technikami na zabránenie analýze, ako je použitie algoritmu ChaCha20 na šifrovanie a zahmlievanie jeho reťazcov. Okrem toho môže byť hrozba inštruovaná, aby odstránila súbor „wlbsctrl.dll“ a odstránili ďalšie artefakty, ktoré by mohli odhaliť jej akcie alebo prítomnosť v zariadení.