HUI Loader

Een malwarebedreiging die al jaren in aanvalscampagnes wordt gebruikt, is nu in verband gebracht met de activiteiten van door Chinse ondersteunde APT-groepen (Advanced Persistence Threat). De malware die bekend staat als de HUI Loader werd voor het eerst geïdentificeerd in 2015, maar de links naar verschillende door de staat gesponsorde hackergroepen zijn pas onlangs bevestigd. Details over de dreiging en de dreigingsactoren die deze gebruiken als onderdeel van hun dreigingstoolkit, werden onthuld in een rapport van de Secureworks Counter Threat Unit (CTU).

De HUI Loader wordt ingezet in de beginfase van de infectie en is belast met de levering en uitvoering van payloads in de volgende fase. De dreiging wordt waarschijnlijk aan de getargete systemen geleverd via legitieme programma's die zijn onderworpen aan een techniek die bekend staat als het kapen van DLL-zoekopdrachten.' Eenmaal ingesteld en in het geheugen draait, is waargenomen dat de HUI Loader verschillende RAT (Remote Access Trojans) laadt, waaronder SodaMaster, Cobalt Strike , PlugX en QuasarRAT.

De onderzoekers van CTU betrapten de HUI Loader als onderdeel van aanvalscampagnes tegen Japanse entiteiten, maar ze vermoeden dat ook Europese en Amerikaanse organisaties het doelwit kunnen zijn. Een van de clusters van activiteiten wordt toegeschreven aan de A41APT. De aanvallers waren waarschijnlijk geïnteresseerd in het verzamelen van intellectueel eigendom en vertrouwden op de HUI Loader voor de levering van de SodaMaster RAT. De andere campagne die door de cyberbeveiligingsexperts is waargenomen, wordt verondersteld door de BRONZE STARLIGHT te zijn. In dit geval lieten de hackers ook ransomware-bedreigingen op de gehackte apparaten vallen, waarschijnlijk als een manier om hun ware doel te verbergen, namelijk het verzamelen van gevoelige gegevens van de slachtoffers.