HUI-Loader

Eine Malware-Bedrohung, die seit Jahren in Angriffskampagnen verwendet wird, wurde nun mit den Aktivitäten von von China- unterstützten APT-Gruppen (Advanced Persistence Threat) in Verbindung gebracht. Die als HUI Loader bekannte Malware wurde bereits 2015 erstmals identifiziert, aber die Verbindungen zu mehreren staatlich geförderten Hackergruppen wurden erst kürzlich bestätigt. Details über die Bedrohung und die Bedrohungsakteure, die sie als Teil ihres Bedrohungs-Toolkits verwenden, wurden in einem Bericht der Secureworks Counter Threat Unit (CTU) enthüllt.

Der HUI Loader wird in den Anfangsstadien der Infektion eingesetzt und hat die Aufgabe, Nutzdaten der nächsten Phase zu liefern und auszuführen. Die Bedrohung wird wahrscheinlich über legitime Programme, die einer Technik unterzogen wurden, die als DLL-Suchreihenfolge-Hijacking bekannt ist, auf die Zielsysteme übertragen.' Sobald der HUI Loader eingerichtet und im Arbeitsspeicher ausgeführt wurde, wurde beobachtet, dass er verschiedene RAT (Remote Access Trojans) lädt, darunter SodaMaster, Cobalt Strike , PlugX und QuasarRAT.

Die Forscher der CTU haben den HUI Loader dabei erwischt, wie er Teil von Angriffskampagnen gegen japanische Einheiten war, aber sie vermuten, dass auch europäische und US-amerikanische Organisationen ins Visier genommen werden könnten. Eines der Aktivitätscluster wird dem A41APT zugeordnet. Die Angreifer waren wahrscheinlich daran interessiert, geistiges Eigentum zu sammeln, und verließen sich für die Lieferung des SodaMaster RAT auf den HUI Loader. Es wird angenommen, dass die andere von den Cybersicherheitsexperten beobachtete Kampagne von BRONZE STARLIGHT stammt. In diesem Fall haben die Hacker auch Ransomware-Bedrohungen auf den verletzten Geräten abgelegt, wahrscheinlich um ihr wahres Ziel, sensible Daten vor den Opfern zu sammeln, zu verbergen.