HUI Loader

Zagrożenie złośliwym oprogramowaniem, które od lat jest wykorzystywane w kampaniach ataków, zostało teraz powiązane z działaniami wspieranych przez Chinse grup APT (Advanced Persistence Threat). Szkodliwe oprogramowanie znane jako HUI Loader zostało po raz pierwszy zidentyfikowane w 2015 roku, ale dopiero niedawno potwierdzono powiązania z kilkoma sponsorowanymi przez państwo grupami hakerów. Szczegóły dotyczące zagrożenia i cyberprzestępców, którzy wykorzystują je jako część swojego zestawu narzędzi do zastraszania, zostały ujawnione w raporcie opracowanym przez Secureworks Counter Threat Unit (CTU).

Program ładujący HUI jest wdrażany na początkowych etapach infekcji i ma za zadanie dostarczanie i wykonywanie ładunków następnego etapu. Zagrożenie jest prawdopodobnie dostarczane do zaatakowanych systemów za pośrednictwem legalnych programów, które zostały poddane technice znanej jako przejmowanie kolejności wyszukiwania DLL. Po ustanowieniu i uruchomieniu w pamięci HUI Loader ładuje różne RAT (trojany zdalnego dostępu), w tym SodaMaster, Cobalt Strike , PlugX i QuasarRAT.

Badacze z CTU złapali HUI Loader jako część kampanii ataków na japońskie podmioty, ale zakładają, że organizacje europejskie i amerykańskie również mogą być celem ataku. Jeden ze skupisk działań jest przypisany do A41APT. Osoby atakujące prawdopodobnie były zainteresowane gromadzeniem własności intelektualnej i polegały na programie ładującym HUI w celu dostarczenia SodaMaster RAT. Za drugą kampanię obserwowaną przez ekspertów ds. cyberbezpieczeństwa uważa się BRONZE STARLIGHT. W tym przypadku hakerzy upuszczali również zagrożenia ransomware na złamane urządzenia, prawdopodobnie w celu ukrycia swojego prawdziwego celu, jakim jest zbieranie poufnych danych od ofiar.