Исследователи Secureworks Counter Threat Unit (CTU) связывают два кластера активности HUI Loader исключительно с китайскими группами.
Группа BRONZE RIVERSIDE, вероятно, ответственна за один кластер, который фокусируется на краже интеллектуальной собственности у японских организаций. Другой кластер связан с развертыванием программ LockFile, AtomSilo, Rook, Night Sky и Pandora для выкупа после вторжения. Исследователи CTU приписывают эту деятельность китайской группе BRONZE STARLIGHT.
Виктимология, короткий срок жизни каждого семейства ransomware и доступ к вредоносному ПО, используемому спонсируемыми правительством группами угроз, позволяют предположить, что основной мотивацией BRONZE STARLIGHT может быть кража интеллектуальной собственности или кибершпионаж, а не финансовая выгода. Программа-выкуп может отвлечь специалистов по реагированию на инциденты от выявления истинных намерений участников угрозы и снизить вероятность приписывания вредоносной деятельности китайской угрожающей группе, спонсируемой правительством.
HUI Loader - это пользовательский загрузчик DLL, название которого происходит от строки в загрузчике Вредоносная программа загружается легитимными программами, которые уязвимы к перехвату порядка поиска DLL. HUI Loader расшифровывает и загружает третий файл, содержащий зашифрованную полезную нагрузку, которая также развертывается на скомпрометированном узле. Исследователи CTU наблюдали, как HUI Loader загружает такие RAT, как SodaMaster, PlugX, Cobalt Strike и QuasarRAT. Образцы HUI Loader, загружающие Cobalt Strike Beacon, были связаны с деятельностью программ LockFile, AtomSilo, Rook, Night Sky и Pandora ransomware.
Indicators of Compromise
IPv4
- 172.105.229.30
- 45.32.101.191
- 45.61.139.38
Domains
- api.microsoftlab.xyz
- api.wensente.xyz
- peek.openssl-digicert.xyz
- update.ajaxrenew.com
- update.microsoftlab.top
- update.microupdate.xyz
MD5
- 0c4a84b66832a08dccc42b478d9d5e1b
- 4c3c7053ec145ad3976b2a84038c5feb
- 577a47811b3c57a663bcbf2aab99c9e3
- 69ef2d7f9ed29840b60a7fd32030cbd1
- 809fcab1225981e87060033d72edaeaf
- a4a6abf4ed4c9447683fba729a17197b
- b0175b09e58d34689a7403abed2ae2f5
- b16bb2f910f21e2d4f6e2aa1a1ea0d8b
- bde2a3c8e034d30ce13e684f324c6702
- f259765905cd16ff40132f35c85a862a
- f3355c8f43dada5a62aab60089c03d1e
SHA1
- 160320b920a5ef22ac17b48146152ffbef60461f
- 3246867705e8aad60491fe195bcc83af79470b22
- 46a9b419d73a518effbc19c3316d8a20cff9ce4a
- 5df448af3f7935c3f4a2904b16af9ea00d13cb0c
- 64f5044709efc77230484cec8a0d784947056022
- a413f4bcb7406710b76fabdaba95bb4690b24406
- a75e9b702a892cc3e531e158ab2e4206b939f379
- b24e254f6fdd67318547915495f56f8f2a0ac4fe
- d9efd4c4e1fb4e3d4a171c4ca0985839ad1cdee9
- dbc48357bfbe41f5bfdd3045066486e76a23ad2d
- ead02cb3f6b811427f2635a18398392bc2ebca3a
SHA256
- 15b52c468cfd4dee4599ec22b1c04b977416fbe5220ab30a097f403903d28a3a
- 5b56c5d86347e164c6e571c86dbf5b1535eae6b979fede6ed66b01e79ea33b7b
- 5b5cd007fb96eef68d3d123eba82a4e4dfce50cdf3b05fe82bfa097870c09903
- 62fea3942e884855283faf3fb68f41be747c5baa922d140509237c2d7bacdd17
- 70225015489cae369d311b62724ef0caf658ffdf62e5edbafd8267a8842e7696
- 7fe5674c9a3af8413d0ec71072a1c27d39edc14e4d110bfeb79d1148d55ce0b6
- 8502852561fcb867d9cbf45ac24c5985fa195432b542dbf8753d5f3d7175b120
- 91f8805e64f434099d0137d0b7ebf3db3ccbf5d76cd071d1604e3e12a348f2d9
- b0fb6c7eecbf711b2c503d7f8f3cf949404e2dd256b621c8cf1f3a2bdfb54301
- c7a515276883a03981accfac182341940eb36071e2a59e8fb6cb22f81aa145ae
- f04f444d9f17d4534d37d3369bf0b20415186862986e62a25f59fd0c2c87562f