HUI محمل

تم الآن ربط تهديد البرامج الضارة الذي تم استخدامه في حملات الهجوم لسنوات ، بأنشطة مجموعات APT المدعومة من Chinse (Advanced Persistent Threat). تم التعرف على البرنامج الضار المعروف باسم HUI Loader لأول مرة في عام 2015 ، ولكن تم تأكيد الروابط إلى العديد من مجموعات المتسللين التي ترعاها الدولة مؤخرًا فقط. تم الكشف عن تفاصيل حول التهديد والجهات الفاعلة التي تستخدمه كجزء من مجموعة أدوات التهديد الخاصة بهم في تقرير صادر عن وحدة مكافحة التهديدات الأمنية (CTU).

يتم نشر HUI Loader في المراحل الأولى من الإصابة ويتم تكليفه بتسليم وتنفيذ حمولات المرحلة التالية. من المحتمل أن يتم تسليم التهديد إلى الأنظمة المستهدفة عبر برامج مشروعة تعرضت لتقنية تُعرف باسم اختطاف أوامر بحث DLL. ' بمجرد إنشائه وتشغيله في الذاكرة ، لوحظ تحميل HUI Loader العديد من RAT (أحصنة طروادة للوصول عن بُعد) بما في ذلك SodaMaster و Cobalt Strike و PlugX و QuasarRAT.

اكتشف الباحثون في CTU أن HUI Loader جزء من حملات هجوم ضد الكيانات اليابانية ، لكنهم يفترضون أنه يمكن استهداف المنظمات الأوروبية والأمريكية أيضًا. تُنسب إحدى مجموعات الأنشطة إلى A41APT. من المحتمل أن المهاجمين كانوا مهتمين بجمع الملكية الفكرية واعتمدوا على HUI Loader لتسليم SodaMaster RAT. يُعتقد أن الحملة الأخرى التي لاحظها خبراء الأمن السيبراني هي من قبل BRONZE STARLIGHT. في هذه الحالة ، قام المتسللون أيضًا بإسقاط تهديدات برامج الفدية على الأجهزة التي تم اختراقها ، كطريقة على الأرجح لإخفاء هدفهم الحقيقي المتمثل في جمع البيانات الحساسة من الضحايا.