Spyder-Loader

Es wurde beobachtet, dass ein neues Malware-Tool als Teil der noch aktiven Angriffsoperationen eingesetzt wird, die als CuckooBees verfolgt werden. Die schädliche Bedrohung ist als Spyder Loader bekannt und verfügt über Datenerfassungsfunktionen. Es muss beachtet werden, dass der Spyder Loader in der Vergangenheit von Operationen verwendet wurde, die mit der APT41 (Winnti, Barium, Wicked Panda und Bronze Atlas) in Verbindung stehen, aber es war eine spätere Ergänzung speziell zu CuckooBees. Details zu der Bedrohung und der Angriffskampagne lieferte ein Bericht von Sicherheitsforschern.

Die cyberkriminelle Gruppe APT41 gilt als eine der ältesten, da angenommen wird, dass sie seit mindestens 2007 aktiv ist. Sie ist auch eine der aktivsten APT-Bedrohungsgruppen (Advanced Persistent Threat) mit zahlreichen Angriffskampagnen über die Jahre. Was CuckooBee betrifft, so fliegt die Operation seit mindestens 2019 größtenteils unter dem Radar und scheint in erster Linie auf ausgewählte in Hongkong ansässige Unternehmen abzuzielen.

Die Spyder Loader-Details

Laut den Forschern ist der Spyder Loader eine ausgeklügelte modulare Bedrohung. Darüber hinaus wurde die Bedrohung mehrfach aktualisiert und wird von den Hackern weiter verbessert. Das Hauptziel der Bedrohung besteht darin, sensible Daten zu sammeln und dann zu exfiltrieren. Die drei Hauptdatentypen, die Cyberkriminelle interessieren, sind die Zugangsdaten der angegriffenen Organisation, Kundendaten und Informationen über ihre Netzwerkarchitektur.

Der Spyder Loader ist mit mehreren Techniken ausgestattet, um eine Analyse zu verhindern, wie z. B. die Verwendung des ChaCha20-Algorithmus zur Verschlüsselung und Verschleierung seiner Zeichenfolgen. Darüber hinaus kann die Bedrohung angewiesen werden, die Nutzdatendatei „wlbsctrl.dll“ zu löschen und zusätzliche Artefakte zu entfernen, die ihre Aktionen oder Anwesenheit auf dem Gerät offenbaren könnten.