HUI Loader

Загроза зловмисного програмного забезпечення, яка використовувалася в кампаніях атак протягом багатьох років, тепер пов’язана з діяльністю підтримуваних Chinse груп APT (Advanced Persistence Threat). Шкідливе програмне забезпечення, відоме як HUI Loader, було вперше виявлено ще в 2015 році, але посилання на кілька спонсорованих державою хакерських груп було підтверджено лише нещодавно. Деталі про загрозу та суб’єктів загроз, які використовують її як частину свого інструментарію для загроз, були розкриті у звіті Secureworks Counter Threat Unit (CTU).

HUI Loader розгортається на початкових етапах зараження, і йому доручається доставка та виконання корисних навантажень наступного етапу. Загроза, імовірно, доставляється цільовим системам через законні програми, які були піддані техніці, відомій як викрадення порядку пошуку DLL». Після встановлення та запуску в пам’яті HUI Loader завантажує різні RAT (трояни віддаленого доступу), включаючи SodaMaster, Cobalt Strike , PlugX та QuasarRAT.

Дослідники з CTU помітили, що HUI Loader був частиною атак проти японських організацій, але вони припускають, що європейські та американські організації також можуть бути мішенню. Один із кластерів діяльності відноситься до A41APT. Зловмисники, ймовірно, були зацікавлені в зборі інтелектуальної власності і покладалися на HUI Loader для доставки SodaMaster RAT. Інша кампанія, яку спостерігали експерти з кібербезпеки, вважається BRONZE STARLIGHT. У цьому випадку хакери також кинули загрози програм-вимагачів на зламані пристрої, ймовірно, щоб приховати свою справжню мету — зібрати конфіденційні дані від жертв.