HUI Loader

Egy rosszindulatú program, amelyet évek óta használnak támadási kampányokban, mostanra a kínai által támogatott APT (Advanced Persistence Threat) csoportok tevékenységéhez kapcsolódnak. A HUI Loader néven ismert kártevőt először 2015-ben azonosították, de csak a közelmúltban erősítették meg a kapcsolatokat számos államilag támogatott hackercsoporttal. A Secureworks Counter Threat Unit (CTU) jelentése szerint a fenyegetés és az azt fenyegető eszköztáruk részeként használó fenyegető szereplők részletezték.

A HUI Loader a fertőzés kezdeti szakaszában kerül telepítésre, és feladata a következő szakaszban a hasznos terhek szállítása és végrehajtása. A fenyegetés valószínűleg törvényes programokon keresztül jut el a megcélzott rendszerekhez, amelyeket a DLL-keresési parancs eltérítéseként ismert technikának vetettek alá. Miután létrejött és a memóriában fut, a HUI Loader a megfigyelések szerint különféle RAT-okat (Remote Access Trojans) tölt be, beleértve a SodaMastert, a Cobalt Strike -ot, a PlugX -et és a QuasarRAT-ot.

A CTU kutatói rájöttek, hogy a HUI Loader a japán entitások elleni támadások része volt, de feltételezik, hogy európai és amerikai szervezetek is célpontok lehetnek. Az egyik tevékenységcsoport az A41APT-hez tartozik. A támadók valószínűleg a szellemi tulajdon gyűjtése iránt érdeklődtek, és a HUI Loaderre támaszkodtak a SodaMaster RAT kézbesítéséhez. A másik, a kiberbiztonsági szakértők által megfigyelt kampányt a BRONZE STARLIGHT tette. Ebben az esetben a hackerek ransomware-fenyegetéseket is dobtak a feltört eszközökre, valószínűleg ezzel akarva elrejteni valódi céljukat, hogy érzékeny adatokat gyűjtsenek az áldozatoktól.