HUI Loader

Malvérová hrozba, ktorá sa roky používa v útočných kampaniach, je teraz spojená s aktivitami skupín APT (Advanced Persistence Threat) podporovaných Čínou. Malvér známy ako HUI Loader bol prvýkrát identifikovaný už v roku 2015, ale prepojenia na niekoľko štátom sponzorovaných hackerských skupín boli potvrdené len nedávno. Podrobnosti o hrozbe a aktéroch hrozieb, ktorí ju používajú ako súčasť svojej súpravy nástrojov na ohrozovanie, odhalila správa Secureworks Counter Threat Unit (CTU).

HUI Loader je nasadený v počiatočných štádiách infekcie a má za úlohu doručiť a spustiť užitočné zaťaženie v ďalšej fáze. Hrozba je pravdepodobne doručená do cieľových systémov prostredníctvom legitímnych programov, ktoré boli podrobené technike známej ako únos príkazov na vyhľadávanie DLL. Po vytvorení a spustení v pamäti sa zistilo, že zavádzač HUI načítava rôzne trójske kone RAT (Remote Access Trojans) vrátane SodaMaster, Cobalt Strike , PlugX a QuasarRAT.

Výskumníci z CTU zachytili HUI Loader ako súčasť útočných kampaní proti japonským subjektom, ale predpokladajú, že cieľom môžu byť aj európske a americké organizácie. Jeden zo zhlukov aktivít sa pripisuje A41APT. Útočníci sa pravdepodobne zaujímali o zhromažďovanie duševného vlastníctva a pri doručovaní SodaMaster RAT sa spoliehali na HUI Loader. O druhej kampani, ktorú pozorovali odborníci na kybernetickú bezpečnosť, sa predpokladá, že ju vedie BRONZE STARLIGHT. V tomto prípade hackeri tiež upustili od ransomvérových hrozieb na napadnutých zariadeniach, pravdepodobne ako spôsob, ako skryť svoj skutočný cieľ zbierať citlivé údaje od obetí.