HUI Loader

Một mối đe dọa phần mềm độc hại đã được sử dụng trong các chiến dịch tấn công trong nhiều năm, hiện đã được kết nối với các hoạt động của các nhóm APT (Mối đe dọa bền vững nâng cao) do Chinse hậu thuẫn. Phần mềm độc hại được gọi là HUI Loader lần đầu tiên được xác định vào năm 2015, nhưng các liên kết đến một số nhóm hacker được nhà nước tài trợ chỉ mới được xác nhận gần đây. Chi tiết về mối đe dọa và các tác nhân đe dọa sử dụng nó như một phần của bộ công cụ đe dọa của họ đã được tiết lộ trong một báo cáo của Đơn vị Chống Đe dọa Secureworks (CTU).

HUI Loader được triển khai trong giai đoạn đầu của quá trình lây nhiễm và có nhiệm vụ phân phối và thực hiện các tải trọng ở giai đoạn tiếp theo. Mối đe dọa có thể được chuyển đến các hệ thống được nhắm mục tiêu thông qua các chương trình hợp pháp đã bị áp dụng một kỹ thuật được gọi là chiếm quyền điều khiển tìm kiếm DLL. ' Sau khi được thiết lập và chạy trong bộ nhớ, HUI Loader đã được quan sát để tải các RAT (Trojan truy cập từ xa) khác nhau bao gồm SodaMaster, Cobalt Strike , PlugX và QuasarRAT.

Các nhà nghiên cứu tại CTU nhận thấy HUI Loader là một phần của các chiến dịch tấn công chống lại các thực thể Nhật Bản, nhưng họ cho rằng các tổ chức châu Âu và Hoa Kỳ cũng có thể bị nhắm mục tiêu. Một trong những cụm hoạt động được quy cho A41APT. Những kẻ tấn công có thể quan tâm đến việc thu thập tài sản trí tuệ và dựa vào HUI Loader để phân phối SodaMaster RAT. Chiến dịch khác được các chuyên gia an ninh mạng quan sát được cho là của BRONZE STARLIGHT. Trong trường hợp này, các tin tặc cũng đánh rơi các mối đe dọa ransomware trên các thiết bị bị xâm phạm, có thể là một cách để che giấu mục tiêu thực sự của chúng là thu thập dữ liệu nhạy cảm từ nạn nhân.