HUI Loader

Rünnakukampaaniates aastaid kasutatud pahavaraoht on nüüdseks seotud Hiina toetatud APT (Advanced Persistence Threat) gruppide tegevusega. HUI Loaderina tuntud pahavara tuvastati esmakordselt juba 2015. aastal, kuid lingid mitme riiklikult toetatud häkkerirühmaga said kinnitust alles hiljuti. Secureworks Counter Threat Unit (CTU) aruandes avaldati üksikasjad ohu ja ohus osalejate kohta, kes seda oma ähvardamise tööriistakomplekti osana kasutavad.

HUI-laadurit kasutatakse nakatumise algfaasis ja selle ülesandeks on järgmise etapi kasulike koormate kohaletoimetamine ja teostamine. Tõenäoliselt edastatakse oht sihitud süsteemidele seaduslike programmide kaudu, mis on allutatud DLL-i otsingukäsu kaaperdamise tehnikale. Pärast mällu loomist ja käivitamist on HUI Loader laadinud mitmesuguseid RAT-i (kaugjuurdepääsu troojalasi), sealhulgas SodaMaster, Cobalt Strike , PlugX ja QuasarRAT.

CTU teadlased tabasid HUI Loaderit osana Jaapani üksuste vastu suunatud rünnakukampaaniatest, kuid nad eeldavad, et sihtmärgiks võivad olla ka Euroopa ja USA organisatsioonid. Üks tegevuste klastritest on omistatud A41APT-le. Ründajad olid tõenäoliselt huvitatud intellektuaalomandi kogumisest ja toetusid SodaMaster RATi tarnimisel HUI Loaderile. Teine kampaania, mida küberturvalisuse eksperdid jälgisid, arvatakse olevat pronkstähe poolt. Sel juhul heitsid häkkerid ka lunavaraohud rikutud seadmetele, tõenäoliselt selleks, et varjata oma tegelikku eesmärki koguda ohvritelt tundlikke andmeid.