Spyder Loader

เครื่องมือมัลแวร์ใหม่ได้รับการสังเกตว่าถูกปรับใช้โดยเป็นส่วนหนึ่งของการดำเนินการโจมตีที่ยังคงใช้งานอยู่ซึ่งถูกติดตามในชื่อ CuckooBees ภัยคุกคามที่เป็นอันตรายนี้เรียกว่า Spyder Loader และมีความสามารถในการรวบรวมข้อมูล ต้องสังเกตว่า Spyder Loader เคยถูกใช้โดยการดำเนินงานที่เกี่ยวข้องกับ APT41 (Winnti, Barium, Wicked Panda และ Bronze Atlas) แต่เป็นส่วนเสริมในภายหลังของ CuckooBees โดยเฉพาะ รายละเอียดเกี่ยวกับภัยคุกคามและแคมเปญการโจมตีมีอยู่ในรายงานโดยนักวิจัยด้านความปลอดภัย

กลุ่มอาชญากรไซเบอร์ APT41 ถือเป็นกลุ่มที่เก่าแก่ที่สุดกลุ่มหนึ่ง เนื่องจากเชื่อว่ามีการดำเนินการมาตั้งแต่ปี 2550 เป็นอย่างน้อย นอกจากนี้ยังเป็นหนึ่งในกลุ่มภัยคุกคาม APT (Advanced Persistent Threat) ที่มีความเคลื่อนไหวมากที่สุด โดยมีการรณรงค์โจมตีมากมาย ปี. สำหรับ CuckooBee การดำเนินการส่วนใหญ่อยู่ภายใต้เรดาร์ตั้งแต่อย่างน้อย 2019 และดูเหมือนว่าจะมุ่งเป้าไปที่หน่วยงานในฮ่องกงที่ได้รับการคัดเลือกเป็นหลัก

รายละเอียด Spyder Loader

ตามที่นักวิจัย Spyder Loader เป็นภัยคุกคามแบบแยกส่วนที่ซับซ้อน ยิ่งไปกว่านั้น ภัยคุกคามยังได้รับการอัปเดตหลายรายการและยังคงได้รับการปรับปรุงโดยแฮกเกอร์ต่อไป เป้าหมายหลักของภัยคุกคามคือการเก็บเกี่ยวและกรองข้อมูลที่ละเอียดอ่อนออกไป ข้อมูลหลักสามประเภทที่น่าสนใจสำหรับอาชญากรไซเบอร์ ได้แก่ ข้อมูลประจำตัวขององค์กรที่ละเมิด ข้อมูลลูกค้า และข้อมูลเกี่ยวกับสถาปัตยกรรมเครือข่าย

Spyder Loader มีเทคนิคหลายอย่างเพื่อป้องกันการวิเคราะห์ เช่น การใช้อัลกอริทึม ChaCha20 เพื่อเข้ารหัสและทำให้สตริงสับสน นอกจากนี้ ภัยคุกคามยังสามารถสั่งให้ลบไฟล์ 'wlbsctrl.dll' ของ payload และลบสิ่งประดิษฐ์เพิ่มเติมที่อาจเปิดเผยการกระทำหรือการมีอยู่บนอุปกรณ์