HUI Loader

Kenkėjiškų programų grėsmė, kuri daugelį metų buvo naudojama atakų kampanijose, dabar buvo susijusi su Kinijos remiamų APT (Advanced Persistence Threat) grupių veikla. Kenkėjiška programa, žinoma kaip HUI Loader, pirmą kartą buvo identifikuota dar 2015 m., tačiau sąsajos su keliomis valstybės remiamomis įsilaužėlių grupėmis buvo patvirtintos tik neseniai. Išsami informacija apie grėsmę ir grėsmės veikėjus, kurie ją naudoja kaip savo grėsmės priemonių rinkinio dalį, buvo atskleista Secureworks Counter Threat Unit (CTU) ataskaitoje.

HUI Loader yra įdiegtas pradinėse infekcijos stadijose ir jam pavesta pristatyti ir vykdyti kito etapo naudingąsias apkrovas. Tikėtina, kad grėsmė nukreipiama į tikslines sistemas per teisėtas programas, kurioms buvo taikoma technika, žinoma kaip DLL paieškos užsakymo užgrobimas. Nustatyta, kad HUI Loader įdiegtas ir paleistas atmintyje įkelia įvairius RAT (nuotolinės prieigos Trojos arklius), įskaitant SodaMaster, Cobalt Strike , PlugX ir QuasarRAT.

CTU tyrėjai pastebėjo, kad HUI Loader yra atakų prieš Japonijos subjektus dalis, tačiau mano, kad Europos ir JAV organizacijos taip pat gali būti nukreiptos. Viena iš veiklų grupių priskiriama A41APT. Užpuolikai greičiausiai buvo suinteresuoti rinkti intelektinę nuosavybę ir pasikliovė HUI Loader, kad pristatytų SodaMaster RAT. Manoma, kad kitą kampaniją, kurią stebėjo kibernetinio saugumo ekspertai, sukūrė BRONZĖS ŽVAIGŽDĖS. Šiuo atveju įsilaužėliai taip pat numetė išpirkos reikalaujančių programų grėsmes į pažeistus įrenginius, greičiausiai norėdami paslėpti savo tikrąjį tikslą rinkti neskelbtinus duomenis iš aukų.