HUI Loader

Ļaunprātīgas programmatūras draudi, kas gadiem ilgi ir izmantoti uzbrukuma kampaņās, tagad ir saistīti ar Ķīnas atbalstīto APT (Advanced Persistence Threat) grupu darbībām. Ļaunprātīgā programmatūra, kas pazīstama kā HUI Loader, pirmo reizi tika identificēta 2015. gadā, taču saites uz vairākām valsts sponsorētām hakeru grupām tika apstiprinātas tikai nesen. Sīkāka informācija par draudiem un apdraudējuma dalībniekiem, kas tos izmanto kā daļu no sava draudu komplekta, tika atklāta Secureworks Counter Threat Unit (CTU) ziņojumā.

HUI Loader tiek izvietots infekcijas sākotnējās stadijās, un tā uzdevums ir piegādāt un izpildīt nākamās pakāpes kravas. Draudi, visticamāk, tiek piegādāti mērķa sistēmām, izmantojot likumīgas programmas, kas tika pakļautas tehnikai, kas pazīstama kā DLL meklēšanas pasūtījuma nolaupīšana. Tiklīdz HUI Loader ir izveidots un darbojas atmiņā, ir novērots, ka tas ielādē dažādus RAT (attālās piekļuves Trojas zirgus), tostarp SodaMaster, Cobalt Strike , PlugX un QuasarRAT.

CTU pētnieki konstatēja, ka HUI Loader ir daļa no uzbrukuma kampaņām pret Japānas vienībām, taču viņi uzskata, ka var tikt vērstas arī Eiropas un ASV organizācijas. Viena no darbību kopām ir attiecināma uz A41APT. Uzbrucēji, visticamāk, bija ieinteresēti iegūt intelektuālo īpašumu un paļāvās uz HUI Loader, lai piegādātu SodaMaster RAT. Tiek uzskatīts, ka otru kampaņu, ko novērojuši kiberdrošības eksperti, ir BRONZE STARLIGHT. Šajā gadījumā hakeri uzlauztajās ierīcēs arī nolaida izspiedējvīrusu draudus, iespējams, lai slēptu savu patieso mērķi vākt sensitīvus datus no upuriem.