HUI Loader

ការគំរាមកំហែងមេរោគដែលត្រូវបានប្រើប្រាស់ក្នុងយុទ្ធនាការវាយប្រហារអស់រយៈពេលជាច្រើនឆ្នាំ ឥឡូវនេះត្រូវបានភ្ជាប់ជាមួយនឹងសកម្មភាពរបស់ក្រុម APT (Advanced Persistence Threat) ដែលគាំទ្រដោយជនជាតិចិន។ មេរោគដែលគេស្គាល់ថាជា HUI Loader ត្រូវបានរកឃើញដំបូងក្នុងឆ្នាំ 2015 ប៉ុន្តែតំណភ្ជាប់ទៅកាន់ក្រុម Hacker ដែលឧបត្ថម្ភដោយរដ្ឋជាច្រើនត្រូវបានបញ្ជាក់នាពេលថ្មីៗនេះ។ ព័ត៌មានលម្អិតអំពីការគំរាមកំហែង និងតួអង្គគំរាមកំហែងដែលប្រើវាជាផ្នែកមួយនៃកញ្ចប់ឧបករណ៍គំរាមកំហែងរបស់ពួកគេត្រូវបានបង្ហាញនៅក្នុងរបាយការណ៍មួយដោយ Secureworks Counter Threat Unit (CTU) ។

ឧបករណ៍ផ្ទុក HUI ត្រូវបានដាក់ពង្រាយនៅដំណាក់កាលដំបូងនៃការឆ្លងមេរោគ ហើយត្រូវបានផ្តល់ភារកិច្ចក្នុងការចែកចាយ និងដំណើរការបន្ទុកដំណាក់កាលបន្ទាប់។ ការគំរាមកំហែងនេះទំនងជាត្រូវបានបញ្ជូនទៅប្រព័ន្ធគោលដៅតាមរយៈកម្មវិធីស្របច្បាប់ដែលត្រូវបានទទួលរងនូវបច្ចេកទេសដែលគេស្គាល់ថាជា DLL search order hijacking។' នៅពេលដែលបានបង្កើតឡើង និងដំណើរការនៅក្នុងអង្គចងចាំនោះ ឧបករណ៍ផ្ទុក HUI ត្រូវបានគេសង្កេតឃើញដើម្បីផ្ទុក RAT ជាច្រើន (ការចូលប្រើពីចម្ងាយ) រួមទាំង SodaMaster, Cobalt Strike , PlugX និង QuasarRAT ។

អ្នកស្រាវជ្រាវនៅ CTU បានចាប់បាន HUI Loader ដែលជាផ្នែកមួយនៃយុទ្ធនាការវាយប្រហារប្រឆាំងនឹងអង្គភាពរបស់ជប៉ុន ប៉ុន្តែពួកគេសន្មតថាអង្គការអឺរ៉ុប និងសហរដ្ឋអាមេរិកក៏អាចជាគោលដៅផងដែរ។ ក្រុមមួយនៃសកម្មភាពត្រូវបានកំណត់គុណលក្ខណៈ A41APT ។ អ្នកវាយប្រហារទំនងជាចាប់អារម្មណ៍ក្នុងការប្រមូលកម្មសិទ្ធិបញ្ញា ហើយពឹងផ្អែកលើ HUI Loader សម្រាប់ការចែកចាយ SodaMaster RAT ។ យុទ្ធនាការផ្សេងទៀតដែលត្រូវបានសង្កេតដោយអ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិតត្រូវបានគេជឿថាធ្វើឡើងដោយ BRONZE STARLIGHT ។ ក្នុងករណីនេះ ពួក Hacker ក៏បានទម្លាក់ការគំរាមកំហែង ransomware នៅលើឧបករណ៍ដែលបំពាន ដែលទំនងជាវិធីមួយដើម្បីលាក់គោលដៅពិតរបស់ពួកគេក្នុងការប្រមូលទិន្នន័យរសើបពីជនរងគ្រោះ។