HUI Loader

ภัยคุกคามจากมัลแวร์ที่ใช้ในแคมเปญการโจมตีมานานหลายปี เชื่อมโยงกับกิจกรรมของกลุ่ม APT (Advanced Persistence Threat) ที่ได้รับการสนับสนุนจาก Chinse มัลแวร์ที่รู้จักกันในชื่อ HUI Loader ถูกระบุครั้งแรกในปี 2015 แต่ลิงก์ไปยังกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐเพิ่งได้รับการยืนยันเมื่อเร็วๆ นี้ รายละเอียดเกี่ยวกับภัยคุกคามและตัวแสดงภัยคุกคามที่ใช้เป็นส่วนหนึ่งของชุดเครื่องมือการคุกคามถูกเปิดเผยในรายงานโดย Secureworks Counter Threat Unit (CTU)

HUI Loader ถูกปรับใช้ในระยะเริ่มต้นของการติดไวรัส และมีหน้าที่ในการส่งมอบและดำเนินการเพย์โหลดขั้นต่อไป ภัยคุกคามน่าจะถูกส่งไปยังระบบเป้าหมายผ่านโปรแกรมที่ถูกต้องตามกฎหมายซึ่งอยู่ภายใต้เทคนิคที่เรียกว่า DLL search order hijacking เมื่อสร้างและทำงานในหน่วยความจำแล้ว HUI Loader จะโหลด RAT (โทรจันการเข้าถึงระยะไกล) ต่างๆ รวมถึง SodaMaster, Cobalt Strike , PlugX และ QuasarRAT

นักวิจัยที่ CTU จับได้ว่า HUI Loader เป็นส่วนหนึ่งของแคมเปญโจมตีหน่วยงานของญี่ปุ่น แต่พวกเขาสันนิษฐานว่าองค์กรในยุโรปและสหรัฐอเมริกาอาจถูกกำหนดเป้าหมายเช่นกัน หนึ่งในกลุ่มของกิจกรรมมาจาก A41APT ผู้โจมตีมีความสนใจในการรวบรวมทรัพย์สินทางปัญญาและอาศัย HUI Loader ในการส่งมอบ SodaMaster RAT อีกแคมเปญหนึ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์สังเกตเห็นนั้นเชื่อว่าเป็นของ BRONZE STARLIGHT ในกรณีนี้ แฮ็กเกอร์ยังทิ้งการคุกคามของแรนซัมแวร์บนอุปกรณ์ที่ถูกละเมิด ซึ่งอาจเป็นวิธีซ่อนเป้าหมายที่แท้จริงของพวกเขาในการรวบรวมข้อมูลที่ละเอียดอ่อนจากเหยื่อ