HUI Loader

یک تهدید بدافزاری که سال‌ها در کمپین‌های حمله استفاده می‌شد، اکنون به فعالیت‌های گروه‌های APT (تهدید پایداری پیشرفته) با پشتیبانی چین متصل شده است. بدافزار معروف به HUI Loader برای اولین بار در سال 2015 شناسایی شد، اما پیوندهای چندین گروه هکری تحت حمایت دولتی اخیراً تأیید شده است. جزئیات مربوط به تهدید و عوامل تهدیدی که از آن به عنوان بخشی از ابزار تهدید کننده خود استفاده می کنند، در گزارشی توسط واحد مقابله با تهدید Secureworks (CTU) فاش شد.

HUI Loader در مراحل اولیه آلودگی مستقر می شود و وظیفه تحویل و اجرای محموله های مرحله بعدی را بر عهده دارد. این تهدید احتمالاً از طریق برنامه‌های قانونی که تحت تکنیکی به نام ربودن سفارش جستجوی DLL قرار گرفته‌اند، به سیستم‌های هدف منتقل می‌شود. پس از ایجاد و اجرا در حافظه، HUI Loader برای بارگیری RAT (تروجان های دسترسی از راه دور) از جمله SodaMaster، Cobalt Strike ، PlugX و QuasarRAT مشاهده شده است.

محققان در CTU دریافتند که HUI Loader بخشی از کمپین های حمله علیه نهادهای ژاپنی است، اما آنها فرض می کنند که سازمان های اروپایی و آمریکایی نیز می توانند هدف قرار بگیرند. یکی از خوشه های فعالیت ها به A41APT نسبت داده می شود. مهاجمان احتمالاً علاقه مند به جمع آوری مالکیت معنوی بودند و برای تحویل SodaMaster RAT به HUI Loader متکی بودند. اعتقاد بر این است که کمپین دیگری که توسط کارشناسان امنیت سایبری مشاهده شده است توسط BRONZE STARLIGHT است. در این مورد، هکرها همچنین تهدیدات باج‌افزاری را بر روی دستگاه‌های نقض شده حذف کردند، احتمالاً راهی برای پنهان کردن هدف واقعی خود از جمع‌آوری داده‌های حساس از قربانیان.