HUI Loader

Grožnja z zlonamerno programsko opremo, ki se je že leta uporabljala v napadih, je zdaj povezana z dejavnostmi skupin APT (Advanced Persistence Threat), ki jih podpira Chinse. Zlonamerna programska oprema, znana kot HUI Loader, je bila prvič identificirana leta 2015, vendar so bile povezave z več hekerskimi skupinami, ki jih sponzorira država, potrjene šele pred kratkim. Podrobnosti o grožnji in akterjih groženj, ki jo uporabljajo kot del svojega nabora orodij za grožnje, so bile razkrite v poročilu Secureworks Counter Threat Unit (CTU).

HUI Loader je nameščen v začetnih fazah okužbe in je zadolžen za dostavo in izvajanje koristnih tovorov naslednje stopnje. Grožnja je verjetno dostavljena v ciljne sisteme prek zakonitih programov, ki so bili podvrženi tehniki, znani kot ugrabitev vrstnega reda iskanja DLL.' Ko je HUI Loader enkrat vzpostavljen in deluje v pomnilniku, je bilo opaženo, da nalaga različne RAT (trojane za oddaljeni dostop), vključno s SodaMaster, Cobalt Strike , PlugX in QuasarRAT.

Raziskovalci pri CTU so ujeli, da je HUI Loader del napadov na japonske subjekte, vendar domnevajo, da bi lahko bile tarče tudi evropske in ameriške organizacije. Eden od sklopov dejavnosti je pripisan A41APT. Napadalci so bili verjetno zainteresirani za zbiranje intelektualne lastnine in so se zanašali na HUI Loader za dostavo SodaMaster RAT. Druga kampanja, ki so jo opazili strokovnjaki za kibernetsko varnost, naj bi bila BRONZE STARLIGHT. V tem primeru so hekerji tudi spustili grožnje z izsiljevalsko programsko opremo na vlomljene naprave, verjetno kot način, da bi prikrili svoj pravi cilj zbiranja občutljivih podatkov od žrtev.