Trình tải Spyder

Một công cụ phần mềm độc hại mới đã được quan sát là sẽ được triển khai như một phần của các hoạt động tấn công vẫn đang hoạt động được theo dõi là CuckooBees. Mối đe dọa gây tổn thương được gọi là Spyder Loader, và nó có khả năng thu thập dữ liệu. Cần phải lưu ý rằng Spyder Loader đã được sử dụng trong quá khứ bởi các hoạt động liên kết với APT41 (Winnti, Barium, Wicked Panda và Bronze Atlas), nhưng nó là một phần bổ sung sau đó đặc biệt cho CuckooBees. Thông tin chi tiết về mối đe dọa và chiến dịch tấn công đã được các nhà nghiên cứu bảo mật cung cấp trong một báo cáo.

Nhóm tội phạm mạng APT41 được coi là một trong những nhóm lâu đời nhất, vì nó được cho là đã hoạt động ít nhất từ năm 2007. Đây cũng là một trong những nhóm đe dọa APT (Mối đe dọa liên tục nâng cao) tích cực nhất, với nhiều chiến dịch tấn công qua nhiều năm. Đối với CuckooBee, hoạt động này đã chủ yếu bay trong tầm kiểm soát ít nhất là từ năm 2019 và có vẻ như nó chủ yếu nhắm vào các thực thể có trụ sở tại Hồng Kông được chọn.

Chi tiết về Trình tải Spyder

Theo các nhà nghiên cứu, Spyder Loader là một mối đe dọa mô-đun phức tạp. Trên hết, mối đe dọa đã được cập nhật nhiều lần và tiếp tục được cải thiện bởi các tin tặc. Mục tiêu chính của mối đe dọa là thu thập và sau đó tách lọc dữ liệu nhạy cảm. Ba loại dữ liệu chính mà tội phạm mạng quan tâm là thông tin đăng nhập của tổ chức bị vi phạm, dữ liệu khách hàng và thông tin về kiến trúc mạng của tổ chức đó.

Spyder Loader được trang bị nhiều kỹ thuật để ngăn chặn phân tích, chẳng hạn như sử dụng thuật toán ChaCha20 để mã hóa và làm xáo trộn các chuỗi của nó. Ngoài ra, mối đe dọa có thể được hướng dẫn xóa tệp payload 'wlbsctrl.dll' và loại bỏ các hiện vật bổ sung có thể tiết lộ hành động hoặc sự hiện diện của nó trên thiết bị.