Spyder Loader

Було помічено, що новий інструмент зловмисного програмного забезпечення розгортається в рамках все ще активних операцій атаки, які відстежуються як CuckooBees. Шкідлива загроза відома як Spyder Loader, і вона містить можливості збору даних. Слід зазначити, що Spyder Loader використовувався в минулому для операцій, пов’язаних з APT41 (Winnti, Barium, Wicked Panda та Bronze Atlas), але це було пізніше доповнення саме до CuckooBees. Подробиці про загрозу та кампанію атаки були надані у звіті дослідників безпеки.

Група кіберзлочинців APT41 вважається однією з найстаріших, оскільки вважається, що вона діє принаймні з 2007 року. Це також одна з найактивніших груп загроз APT (Advanced Persistent Threat), з численними кампаніями атак на років. Що стосується CuckooBee, операція в основному пролітає поза радаром принаймні з 2019 року, і, здається, вона націлена в основному на вибрані організації, що базуються в Гонконгу.

Деталі навантажувача Spyder

За словами дослідників, Spyder Loader є складною модульною загрозою. Крім того, загроза неодноразово оновлювалась і продовжує вдосконалюватися хакерами. Основна мета загрози – зібрати та вилучити конфіденційні дані. Три основні типи даних, які цікавлять кіберзлочинців, - це облікові дані зламаної організації, дані клієнтів і інформація про її мережеву архітектуру.

Spyder Loader оснащено кількома методами запобігання аналізу, наприклад використанням алгоритму ChaCha20 для шифрування та обфускації його рядків. Крім того, загроза може отримати вказівку видалити файл корисного навантаження «wlbsctrl.dll» і видалити додаткові артефакти, які можуть виявити її дії або присутність на пристрої.