HUI Loader

Haittaohjelmauhka, jota on käytetty hyökkäyskampanjoissa vuosia, on nyt liitetty Kiinan tukemien APT (Advanced Persistence Threat) -ryhmien toimintaan. HUI Loader -niminen haittaohjelma tunnistettiin ensimmäisen kerran jo vuonna 2015, mutta linkit useisiin valtion tukemiin hakkeriryhmiin on vahvistettu vasta äskettäin. Secureworks Counter Threat Unit (CTU) -yksikön raportissa paljastettiin yksityiskohtia uhasta ja uhkatoimijoista, jotka käyttävät sitä osana uhkailutyökalujaan.

HUI Loader otetaan käyttöön tartunnan alkuvaiheessa, ja sen tehtävänä on toimittaa ja suorittaa seuraavan vaiheen hyötykuormia. Uhka toimitetaan todennäköisesti kohdejärjestelmiin laillisten ohjelmien kautta, jotka on altistettu DLL-hakujärjestyksen kaappaukseksi tunnetulle tekniikalle. Kun HUI Loader on perustettu ja käynnissä muistissa, sen on havaittu lataavan erilaisia RAT-troijalaisia (Remote Access Troijalaisia), mukaan lukien SodaMaster, Cobalt Strike , PlugX ja QuasarRAT.

CTU:n tutkijat havaitsivat HUI Loaderin olevan osa hyökkäyskampanjoita japanilaisia tahoja vastaan, mutta he olettavat, että myös eurooppalaisia ja yhdysvaltalaisia organisaatioita voitaisiin joutua kohteena. Yksi aktiviteettiklustereista liittyy A41APT:hen. Hyökkääjät olivat todennäköisesti kiinnostuneita immateriaaliomaisuuden keräämisestä ja luottivat HUI Loaderiin SodaMaster RAT:n toimittamisessa. Toisen kyberturvallisuusasiantuntijoiden havaitseman kampanjan uskotaan olevan pronssitähti. Tässä tapauksessa hakkerit pudottivat myös ransomware-uhkia murtautuneille laitteille todennäköisesti keinona piilottaa todellista tavoitteensa kerätä arkaluontoisia tietoja uhreilta.