HUI Loader
یک تهدید بدافزاری که سالها در کمپینهای حمله استفاده میشد، اکنون به فعالیتهای گروههای APT (تهدید پایداری پیشرفته) با پشتیبانی چین متصل شده است. بدافزار معروف به HUI Loader برای اولین بار در سال 2015 شناسایی شد، اما پیوندهای چندین گروه هکری تحت حمایت دولتی اخیراً تأیید شده است. جزئیات مربوط به تهدید و عوامل تهدیدی که از آن به عنوان بخشی از ابزار تهدید کننده خود استفاده می کنند، در گزارشی توسط واحد مقابله با تهدید Secureworks (CTU) فاش شد.
HUI Loader در مراحل اولیه آلودگی مستقر می شود و وظیفه تحویل و اجرای محموله های مرحله بعدی را بر عهده دارد. این تهدید احتمالاً از طریق برنامههای قانونی که تحت تکنیکی به نام ربودن سفارش جستجوی DLL قرار گرفتهاند، به سیستمهای هدف منتقل میشود. پس از ایجاد و اجرا در حافظه، HUI Loader برای بارگیری RAT (تروجان های دسترسی از راه دور) از جمله SodaMaster، Cobalt Strike ، PlugX و QuasarRAT مشاهده شده است.
محققان در CTU دریافتند که HUI Loader بخشی از کمپین های حمله علیه نهادهای ژاپنی است، اما آنها فرض می کنند که سازمان های اروپایی و آمریکایی نیز می توانند هدف قرار بگیرند. یکی از خوشه های فعالیت ها به A41APT نسبت داده می شود. مهاجمان احتمالاً علاقه مند به جمع آوری مالکیت معنوی بودند و برای تحویل SodaMaster RAT به HUI Loader متکی بودند. اعتقاد بر این است که کمپین دیگری که توسط کارشناسان امنیت سایبری مشاهده شده است توسط BRONZE STARLIGHT است. در این مورد، هکرها همچنین تهدیدات باجافزاری را بر روی دستگاههای نقض شده حذف کردند، احتمالاً راهی برای پنهان کردن هدف واقعی خود از جمعآوری دادههای حساس از قربانیان.