HUI Loader

Ett hot mot skadlig programvara som har använts i attackkampanjer i åratal har nu kopplats till aktiviteterna i Chinse-backed APT-grupper (Advanced Persistence Threat). Skadlig programvara känd som HUI Loader identifierades först 2015, men länkarna till flera statligt sponsrade hackergrupper har bekräftats först nyligen. Detaljer om hotet och de hotaktörer som använder det som en del av deras hotfulla verktygslåda avslöjades i en rapport från Secureworks Counter Threat Unit (CTU).

HUI Loader distribueras i de inledande stadierna av infektionen och har till uppgift att leverera och utföra nyttolaster i nästa steg. Hotet levereras sannolikt till de riktade systemen via legitima program som utsattes för en teknik som kallas DLL-sökorderkapning.' När den väl har etablerats och körts i minnet har HUI Loader observerats ladda olika RAT (Remote Access Trojans) inklusive SodaMaster, Cobalt Strike , PlugX och QuasarRAT.

Forskarna vid CTU fångade HUI Loader som en del av attackkampanjer mot japanska enheter, men de antar att europeiska och amerikanska organisationer också kan bli måltavla. Ett av klustren av aktiviteter hänförs till A41APT. Angriparna var sannolikt intresserade av att samla in immateriell egendom och förlitade sig på HUI Loader för leveransen av SodaMaster RAT. Den andra kampanjen som observerats av cybersäkerhetsexperterna tros vara av BRONZE STARLIGHT. I det här fallet släppte hackarna också ransomware-hot på de intrångade enheterna, troligtvis som ett sätt att dölja deras sanna mål att samla in känslig data från offren.