HUI Loader

Вредоносная угроза, которая годами использовалась в кампаниях атак, теперь связана с деятельностью поддерживаемых Китаем групп APT (Advanced Persistence Threat). Вредоносное ПО, известное как HUI Loader, было впервые обнаружено еще в 2015 году, но связь с несколькими спонсируемыми государством хакерскими группами была подтверждена лишь недавно. Подробности об угрозе и злоумышленниках, которые используют ее как часть своего инструментария для создания угроз, были раскрыты в отчете подразделения Secureworks Counter Threat Unit (CTU).

Загрузчик HUI развертывается на начальных этапах заражения, и ему поручено доставлять и выполнять полезные нагрузки на следующем этапе. Угроза, вероятно, доставляется на целевые системы через законные программы, которые были подвергнуты методу, известному как перехват порядка поиска DLL». Было замечено, что после установки и работы в памяти загрузчик HUI загружает различные RAT (трояны удаленного доступа), включая SodaMaster, Cobalt Strike , PlugX и QuasarRAT.

Исследователи из CTU обнаружили, что загрузчик HUI является частью атак на японские организации, но они предполагают, что европейские и американские организации также могут быть атакованы. Один из кластеров активности относится к A41APT. Злоумышленники, вероятно, были заинтересованы в сборе интеллектуальной собственности и полагались на загрузчик HUI для доставки SodaMaster RAT. Другая кампания, наблюдаемая экспертами по кибербезопасности, как полагают, принадлежит BRONZE STARLIGHT. В этом случае хакеры также сбрасывали на взломанные устройства угрозы программ-вымогателей, вероятно, чтобы скрыть свою истинную цель — сбор конфиденциальных данных от жертв.