Malware chinês ‘HUI Loader’ aumenta a aposta em ataques de espionagem

Um conhecido malware de espionagem ressalta a ameaça que as empresas estrangeiras enfrentam das equipes de hackers patrocinadas pelo Estado chinês.

Conhecido como HUI Loader, o malware está ativo há mais de sete anos, mas só recentemente foi vinculado a vários grupos patrocinados pelo estado vindos da China.

O malware HUI Loader agora pode ser conectado a um par de operações de malware que usam a ameaça de ransomware como fachada para roubar propriedade intelectual de alvos, de acordo com pesquisadores da Secureworks Counter Threat Unit (CTU).

Operando como um ataque de carregador de DLL , o HUI Loader se esconde dentro de um arquivo executável inofensivo espalhado por spam, phishing ou uma exploração de vulnerabilidade de software. O malware em si remonta a 2015 e foi conectado a várias campanhas de hackers atribuídas a grupos baseados na China.

Uma vez instalado e executado na memória, a ferramenta HUI Loader extrai o malware responsável por fazer o trabalho sujo de copiar, carregar e criptografar dados no sistema host. Parte disso é realizado por meio de uma carga útil do Cobalt Strike e o restante é feito por meio de pacotes de malware proprietários, informou a Secureworks CTU.

Em última análise, o objetivo do ataque é retirar a propriedade intelectual do alvo sob o disfarce de um ataque de malware. Isso ofereceria ao governo chinês algum grau de negação por roubar dados confidenciais, pois os administradores ficam pensando que são alvos de cibercriminosos comuns.

Para a maioria dos administradores e defensores de rede, isso não é nada novo ou digno de nota. No entanto, ao recuar um pouco dos ataques, os pesquisadores da Secureworks notaram um padrão que poderia vincular os ataques à propriedade intelectual a grupos organizados e gerenciados por Pequim.

“A distribuição e o compartilhamento de malware que foram desenvolvidos por indivíduos ligados a agências de inteligência chinesas é comum entre os grupos de ameaças chineses”, disse Marc Burnard, consultor sênior de pesquisa de segurança da informação da Secureworks, à SearchSecurity.

Uma das campanhas mais importantes para usar a ferramenta HUI-Loader foi o A41APT, um ataque que pode ser atribuído a uma equipe de hackers conhecida como Bronze Starlight. Essa operação tem ligações diretas com o Ministério da Segurança do Estado da China (MSS).

Sabe-se que grupos de ameaças com sede na China adotam ferramentas de segurança ofensivas desenvolvidas por pesquisadores independentes dentro e fora do país, disse Burnard.

“Às vezes, essas ferramentas são compartilhadas apenas em fóruns fechados”, disse Burnard. “No entanto, dado que o primeiro uso do HUI Loader está exclusivamente ligado a grupos de ameaças de espionagem patrocinados pelo estado chinês, como ‘Bronze Riverside’, é plausível que o HUI Loader possa ter sido desenvolvido por indivíduos que trabalham para uma unidade de inteligência do PLA. [Exército de Libertação Popular] ou MSS.”

Embora a maioria dos ataques tenha sido limitada a empresas japonesas, empresas nos EUA e na Europa devem atualizar seus softwares e garantir que os usuários estejam atentos a ataques e métodos comuns de phishing e engenharia social, de acordo com as melhores práticas.

Fonte: https://www.techtarget.com/