HUI 装载机
多年来一直在攻击活动中使用的恶意软件威胁现已与中国支持的 APT(高级持久性威胁)组织的活动相关联。被称为 HUI Loader 的恶意软件于 2015 年首次被发现,但与几个国家资助的黑客组织的链接直到最近才得到证实。 Secureworks Counter Threat Unit (CTU) 的一份报告中披露了有关威胁以及将其用作威胁工具包一部分的威胁参与者的详细信息。
HUI 加载器部署在感染的初始阶段,其任务是交付和执行下一阶段的有效负载。威胁很可能通过合法程序传递到目标系统,这些程序受到称为 DLL 搜索命令劫持的技术的影响。一旦建立并在内存中运行,已观察到 HUI Loader 会加载各种 RAT(远程访问木马),包括 SodaMaster、 Cobalt Strike 、 PlugX和QuasarRAT。
CTU 的研究人员发现 HUI Loader 是针对日本实体的攻击活动的一部分,但他们认为欧洲和美国的组织也可能成为攻击目标。其中一组活动归因于 A41APT。攻击者可能对收集知识产权感兴趣,并依靠 HUI Loader 来交付 SodaMaster RAT。网络安全专家观察到的另一场活动据信是由 BRONZE STARLIGHT 发起的。在这种情况下,黑客还在被入侵的设备上投放了勒索软件威胁,这可能是为了隐藏他们从受害者那里收集敏感数据的真正目标。
