HUI Loader

En malware-trussel, der har været brugt i angrebskampagner i årevis, er nu blevet forbundet med aktiviteterne i Chinse-støttede APT-grupper (Advanced Persistence Threat). Malwaren kendt som HUI Loader blev først identificeret tilbage i 2015, men links til flere statssponsorerede hackergrupper er først blevet bekræftet for nylig. Detaljer om truslen og trusselsaktørerne, der bruger den som en del af deres truende værktøjssæt, blev afsløret i en rapport fra Secureworks Counter Threat Unit (CTU).

HUI Loader installeres i de indledende stadier af infektionen og har til opgave at levere og udføre næste trins nyttelast. Truslen er sandsynligvis leveret til de målrettede systemer via legitime programmer, der blev udsat for en teknik kendt som DLL-søgeordrekapring.' Når først den er etableret og kører i hukommelsen, er det blevet observeret, at HUI Loader indlæser forskellige RAT (Remote Access Trojans) inklusive SodaMaster, Cobalt Strike , PlugX og QuasarRAT.

Forskerne på CTU fangede HUI Loader, der var en del af angrebskampagner mod japanske enheder, men de antager, at europæiske og amerikanske organisationer også kunne blive målrettet. En af klyngerne af aktiviteter tilskrives A41APT. Angriberne var sandsynligvis interesserede i at indsamle intellektuel ejendom og stolede på HUI Loader til levering af SodaMaster RAT. Den anden kampagne observeret af cybersikkerhedseksperter menes at være af BRONZE STARLIGHT. I dette tilfælde droppede hackerne også ransomware-trusler på de brudte enheder, sandsynligvis som en måde at skjule deres sande mål med at indsamle følsomme data fra ofrene.