HUI Loader

Malwarová hrozba, která byla léta používána v útočných kampaních, byla nyní propojena s aktivitami skupin APT (Advanced Persistence Threat) podporovaných Čínou. Malware známý jako HUI Loader byl poprvé identifikován již v roce 2015, ale odkazy na několik státem sponzorovaných hackerských skupin byly potvrzeny teprve nedávno. Podrobnosti o hrozbě a aktérech hrozeb, kteří ji používají jako součást své sady nástrojů pro hrozby, odhalila zpráva Secureworks Counter Threat Unit (CTU).

Zavaděč HUI je nasazen v počátečních fázích infekce a má za úkol doručovat a provádět užitečné zatížení v další fázi. Hrozba je pravděpodobně doručena do cílových systémů prostřednictvím legitimních programů, které byly vystaveny technice známé jako únos příkazu k vyhledávání DLL.' Po vytvoření a spuštění v paměti bylo pozorováno, že zavaděč HUI načítá různé trojské koně RAT (Remote Access Trojans) včetně SodaMaster, Cobalt Strike , PlugX a QuasarRAT.

Výzkumníci z ČVUT zachytili HUI Loader jako součást útočných kampaní proti japonským entitám, ale předpokládají, že cílem mohou být i evropské a americké organizace. Jeden ze shluků aktivit je připisován A41APT. Útočníci se pravděpodobně zajímali o shromažďování duševního vlastnictví a spoléhali na HUI Loader pro dodání SodaMaster RAT. Další kampaň pozorovanou experty na kybernetickou bezpečnost je považována za BRONZE STARLIGHT. V tomto případě hackeři také upustili od ransomwarových hrozeb na napadená zařízení, pravděpodobně jako způsob, jak skrýt svůj skutečný cíl shromažďovat citlivá data od obětí.