HUI Loader

O amenințare malware care a fost folosită în campanii de atac de ani de zile, a fost acum conectată la activitățile grupurilor APT (Advanced Persistence Threat) susținute de Chinse. Malware-ul cunoscut sub numele de HUI Loader a fost identificat pentru prima dată în 2015, dar legăturile către mai multe grupuri de hackeri sponsorizate de stat au fost confirmate abia recent. Detalii despre amenințare și actorii amenințărilor care o folosesc ca parte a setului lor de instrumente pentru amenințări au fost dezvăluite într-un raport al Unității de combatere a amenințărilor (CTU) Secureworks.

HUI Loader este desfășurat în etapele inițiale ale infecției și are sarcina de a livra și executa încărcările utile din etapa următoare. Amenințarea este probabil transmisă sistemelor vizate prin intermediul unor programe legitime care au fost supuse unei tehnici cunoscute sub numele de deturnare a ordinului de căutare DLL.' Odată stabilit și rulat în memorie, s-a observat că HUI Loader încarcă diverse RAT (troieni de acces la distanță), inclusiv SodaMaster, Cobalt Strike , PlugX și QuasarRAT.

Cercetătorii de la CTU au prins că HUI Loader face parte din campanii de atac împotriva entităților japoneze, dar presupun că și organizațiile europene și americane ar putea fi vizate. Unul dintre grupurile de activități este atribuit A41APT. Atacatorii erau probabil interesați de colectarea proprietății intelectuale și s-au bazat pe HUI Loader pentru livrarea SodaMaster RAT. Cealaltă campanie observată de experții în securitate cibernetică este considerată a BRONZE STARLIGHT. În acest caz, hackerii au renunțat și la amenințările de tip ransomware pe dispozitivele încălcate, probabil ca o modalitate de a-și ascunde adevăratul obiectiv de a colecta date sensibile de la victime.