Spyder Loader

Ett nytt skadligt verktyg har observerats vara utplacerat som en del av de fortfarande aktiva attackoperationerna som spåras som CuckooBees. Det sårande hotet är känt som Spyder Loader, och det har datainsamlingsmöjligheter. Det måste noteras att Spyder Loader har använts tidigare av operationer associerade med APT41 (Winnti, Barium, Wicked Panda och Bronze Atlas), men det var ett senare tillägg till CuckooBees specifikt. Detaljer om hotet och attackkampanjen lämnades i en rapport från säkerhetsforskare.

Den cyberkriminella gruppen APT41 anses vara en av de äldsta, eftersom den tros ha varit i drift sedan åtminstone 2007. Den är också en av de mest aktiva APT-hotgrupperna (Advanced Persistent Threat), med många attackkampanjer över år. När det gäller CuckooBee har operationen mestadels flugit under radarn sedan åtminstone 2019, och den verkar i första hand inrikta sig på utvalda Hongkong-baserade enheter.

Spyder Loader Detaljer

Enligt forskarna är Spyder Loader ett sofistikerat modulärt hot. Utöver det har hotet sett flera uppdateringar och fortsätter att förbättras av hackarna. Huvudmålet med hotet är att skörda och sedan exfiltrera känslig data. De tre huvudtyperna av data som intresserar cyberbrottslingarna är den kränkta organisationens referenser, kunddata och information om dess nätverksarkitektur.

Spyder Loader är utrustad med flera tekniker för att förhindra analys, som att använda ChaCha20-algoritmen för att kryptera och fördunkla dess strängar. Dessutom kan hotet instrueras att ta bort nyttolasten 'wlbsctrl.dll'-filen och ta bort ytterligare artefakter som kan avslöja dess handlingar eller närvaro på enheten.