Spyder Loader

Opazili so, da je novo orodje zlonamerne programske opreme uvedeno kot del še vedno aktivnih napadov, ki so jim sledili kot CuckooBees. Škodljiva grožnja je znana kot Spyder Loader in ima zmožnosti zbiranja podatkov. Treba je opozoriti, da je bil Spyder Loader v preteklosti uporabljen v operacijah, povezanih z APT41 (Winnti, Barium, Wicked Panda in Bronze Atlas), vendar je bil poznejši dodatek posebej k CuckooBees. Podrobnosti o grožnji in kampanji napada so bile podane v poročilu varnostnih raziskovalcev.

Skupina kibernetskih kriminalcev APT41 velja za eno najstarejših, saj naj bi delovala vsaj od leta 2007. Je tudi ena najbolj dejavnih groženjskih skupin APT (Advanced Persistent Threat) s številnimi napadalnimi kampanjami nad leta. Kar zadeva CuckooBee, je bila operacija večinoma pod radarjem vsaj od leta 2019 in zdi se, da je usmerjena predvsem na izbrane subjekte s sedežem v Hongkongu.

Podrobnosti o nakladalniku Spyder

Po mnenju raziskovalcev je Spyder Loader prefinjena modularna grožnja. Poleg tega je bila grožnja večkrat posodobljena in jo hekerji še naprej izboljšujejo. Glavni cilj grožnje je pridobiti in nato izločiti občutljive podatke. Tri glavne vrste podatkov, ki zanimajo kibernetske kriminalce, so poverilnice kršene organizacije, podatki o strankah in informacije o njeni omrežni arhitekturi.

Spyder Loader je opremljen z več tehnikami za preprečevanje analize, kot je uporaba algoritma ChaCha20 za šifriranje in zakrivanje njegovih nizov. Poleg tega je mogoče grožnji naročiti, da izbriše datoteko »wlbsctrl.dll« in odstrani dodatne artefakte, ki bi lahko razkrili njena dejanja ali prisotnost v napravi.