HUI Loader

En trussel mot skadelig programvare som har blitt brukt i angrepskampanjer i årevis, har nå blitt koblet til aktivitetene til Chinse-støttede APT-grupper (Advanced Persistence Threat). Skadevaren kjent som HUI Loader ble først identifisert tilbake i 2015, men koblingene til flere statssponsede hackergrupper har blitt bekreftet først nylig. Detaljer om trusselen og trusselaktørene som bruker den som en del av deres truende verktøysett ble avslørt i en rapport fra Secureworks Counter Threat Unit (CTU).

HUI Loader distribueres i de innledende stadiene av infeksjonen og har i oppgave å levere og utføre nyttelaster i neste trinn. Trusselen er sannsynligvis levert til de målrettede systemene via legitime programmer som ble utsatt for en teknikk kjent som DLL-søkeordrekapring.' Når HUI Loader er etablert og kjørt i minnet, har det blitt observert å laste forskjellige RAT (Remote Access Trojans) inkludert SodaMaster, Cobalt Strike , PlugX og QuasarRAT.

Forskerne ved CTU fanget HUI Loader som en del av angrepskampanjer mot japanske enheter, men de antar at europeiske og amerikanske organisasjoner også kan bli målrettet. En av aktivitetsgruppene tilskrives A41APT. Angriperne var sannsynligvis interessert i å samle intellektuell eiendom og stolte på HUI Loader for levering av SodaMaster RAT. Den andre kampanjen observert av cybersikkerhetsekspertene antas å være av BRONZE STARLIGHT. I dette tilfellet droppet hackerne også løsepengevare-trusler på de brutte enhetene, sannsynligvis som en måte å skjule deres sanne mål om å samle inn sensitive data fra ofrene.