HUI Loader

Заплаха от злонамерен софтуер, която се използва в кампании за атаки от години, сега е свързана с дейностите на подкрепяните от Chinse APT (Advanced Persistence Threat) групи. Зловредният софтуер, известен като HUI Loader, беше идентифициран за първи път през 2015 г., но връзките към няколко спонсорирани от държавата хакерски групи бяха потвърдени едва наскоро. Подробности за заплахата и участниците в заплахата, които я използват като част от своя инструментариум за заплахи, бяха разкрити в доклад на звеното за противодействие на заплахите на Secureworks (CTU).

HUI Loader се внедрява в началните етапи на инфекцията и има задачата да доставя и изпълнява полезни товари от следващия етап. Заплахата вероятно се доставя на целевите системи чрез легитимни програми, които са били подложени на техника, известна като отвличане на поръчки за търсене в DLL. Веднъж установен и работещ в паметта, HUI Loader е наблюдаван да зарежда различни RAT (троянски коне за отдалечен достъп), включително SodaMaster, Cobalt Strike , PlugX и QuasarRAT.

Изследователите от CTU уловиха, че HUI Loader е част от кампании за атака срещу японски организации, но предполагат, че европейски и американски организации също могат да бъдат насочени. Един от групите дейности се приписва на A41APT. Нападателите вероятно са се интересували от събиране на интелектуална собственост и са разчитали на HUI Loader за доставката на SodaMaster RAT. Другата кампания, наблюдавана от експертите по киберсигурност, се смята, че е от БРОНЗОВАТА ЗВЕЗДА. В този случай хакерите също пуснаха заплахи за откуп на взломените устройства, вероятно като начин да скрият истинската си цел да събират чувствителни данни от жертвите.