Φορτωτή HUI

Μια απειλή κακόβουλου λογισμικού που χρησιμοποιείται σε εκστρατείες επίθεσης εδώ και χρόνια, έχει πλέον συνδεθεί με τις δραστηριότητες ομάδων APT (Advanced Persistence Threat) που υποστηρίζονται από την Chinse. Το κακόβουλο λογισμικό γνωστό ως HUI Loader εντοπίστηκε για πρώτη φορά το 2015, αλλά οι σύνδεσμοι με πολλές ομάδες χάκερ που χρηματοδοτούνται από το κράτος επιβεβαιώθηκαν μόλις πρόσφατα. Λεπτομέρειες σχετικά με την απειλή και τους παράγοντες απειλής που τη χρησιμοποιούν ως μέρος της εργαλειοθήκης απειλών αποκαλύφθηκαν σε μια έκθεση της Secureworks Counter Threat Unit (CTU).

Ο φορτωτής HUI αναπτύσσεται στα αρχικά στάδια της μόλυνσης και είναι επιφορτισμένος με την παράδοση και την εκτέλεση ωφέλιμων φορτίων επόμενου σταδίου. Η απειλή είναι πιθανό να παραδοθεί στα στοχευμένα συστήματα μέσω νόμιμων προγραμμάτων που υποβλήθηκαν σε μια τεχνική γνωστή ως πειρατεία παραγγελιών αναζήτησης DLL.' Μόλις εγκατασταθεί και εκτελεστεί στη μνήμη, το HUI Loader έχει παρατηρηθεί ότι φορτώνει διάφορους RAT (Trojan Remote Access), συμπεριλαμβανομένων των SodaMaster, Cobalt Strike , PlugX και QuasarRAT.

Οι ερευνητές στο CTU έπιασαν το HUI Loader ως μέρος εκστρατειών επίθεσης εναντίον ιαπωνικών οντοτήτων, αλλά υποθέτουν ότι ευρωπαϊκοί και αμερικανικοί οργανισμοί θα μπορούσαν επίσης να στοχοποιηθούν. Ένα από τα συμπλέγματα δραστηριοτήτων αποδίδεται στο A41APT. Οι επιτιθέμενοι πιθανότατα ενδιαφέρθηκαν για τη συλλογή πνευματικής ιδιοκτησίας και βασίστηκαν στο HUI Loader για την παράδοση του SodaMaster RAT. Η άλλη εκστρατεία που παρατήρησαν οι ειδικοί στον τομέα της κυβερνοασφάλειας πιστεύεται ότι είναι από το BRONZE STARLIGHT. Σε αυτή την περίπτωση, οι χάκερ έριξαν επίσης απειλές ransomware στις συσκευές που παραβιάστηκαν, πιθανότατα ως ένας τρόπος να κρύψουν τον πραγματικό τους στόχο να συλλέξουν ευαίσθητα δεδομένα από τα θύματα.