Spyder Loader

Ang isang bagong tool sa malware ay naobserbahang i-deploy bilang bahagi ng mga aktibong operasyon ng pag-atake na sinusubaybayan bilang CuckooBees. Ang masakit na banta ay kilala bilang Spyder Loader, at ito ay may mga kakayahan sa pagkolekta ng data. Dapat tandaan na ang Spyder Loader ay ginamit sa nakaraan ng mga operasyong nauugnay sa APT41 (Winnti, Barium, Wicked Panda at Bronze Atlas), ngunit ito ay isang karagdagang karagdagan sa CuckooBees sa ibang pagkakataon. Ang mga detalye tungkol sa banta at ang kampanya sa pag-atake ay ibinigay sa isang ulat ng mga mananaliksik sa seguridad.

Ang APT41 cybercriminal group ay itinuturing na isa sa pinakamatanda, dahil ito ay pinaniniwalaang gumagana mula noong 2007. Isa rin ito sa mga pinakaaktibong grupo ng pagbabanta ng APT (Advanced Persistent Threat), na may maraming mga kampanya sa pag-atake sa buong taon. Tulad ng para sa CuckooBee, ang operasyon ay halos lumilipad sa ilalim ng radar mula noong hindi bababa sa 2019, at tila pangunahing tina-target nito ang mga napiling entity na nakabase sa Hong Kong.

Ang Mga Detalye ng Spyder Loader

Ayon sa mga mananaliksik, ang Spyder Loader ay isang sopistikadong modular threat. Higit pa rito, ang banta ay nakakita ng maraming pag-update at patuloy na pinapabuti ng mga hacker. Ang pangunahing layunin ng banta ay ang pag-ani at pagkatapos ay i-exfiltrate ang sensitibong data. Ang tatlong pangunahing uri ng data na kinaiinteresan ng mga cybercriminal ay ang mga kredensyal ng nilabag na organisasyon, data ng customer at impormasyon tungkol sa arkitektura ng network nito.

Ang Spyder Loader ay nilagyan ng maraming mga diskarte upang maiwasan ang pagsusuri, tulad ng paggamit ng ChaCha20 algorithm upang i-encrypt at i-obfuscate ang mga string nito. Bilang karagdagan, ang banta ay maaaring atasan na tanggalin ang payload na 'wlbsctrl.dll' na file at alisin ang mga karagdagang artifact na maaaring magbunyag ng mga pagkilos o presensya nito sa device.