FastFire

بواسطة Mezo في Mobile Malware, Advanced Persistent Threat (APT)

ترجمة الى:

قامت مجموعة Kimsuki التابعة لـ APT (التهديد المستمر المتقدم) بتوسيع ترسانتها الخبيثة من خلال إضافة ثلاثة تهديدات جديدة للبرامج الضارة ، وفقًا لنتائج خبراء الأمن السيبراني. تم تحليل أدوات الهجوم من قبل الباحثين في شركة للأمن السيبراني في كوريا الجنوبية وتم إعطاؤهم أسماء FastFire و FastViewer و FastSpy.

يُعتقد أن مجموعة قراصنة Kimsuki (Thallium و Black Banshee و Velvet Chollima) نشطة منذ عام 2012 على الأقل ويبدو أنها مدعومة من حكومة كوريا الشمالية. ركزت عملياتها الهجومية في الغالب على أهداف فردية أو منظمات تقع في كوريا الجنوبية واليابان والولايات المتحدة.الهدف الواضح من حملات التهديد هو جمع معلومات حساسة من الضحايا العاملين في مجالات الإعلام والسياسة والبحوث والدبلوماسية.

تفاصيل FastFire

تهديد FastFire هو تهديد محمول يظهر علامات على أنه لا يزال قيد التطوير النشط. يتنكر ملف APK المهدد باعتباره مكونًا إضافيًا للأمان من Google. بعد التثبيت على جهاز Android ، سوف يقوم FastFire بإخفاء رمز المشغل الخاص به لتجنب جذب انتباه الضحية. ستنقل البرامج الضارة بعد ذلك رمزًا مميزًا للجهاز إلى خوادم الأوامر والتحكم (C & C ، C2) الخاصة بالعملية وتنتظر إرسال الأمر مرة أخرى. يتم الاتصال بين الجهاز المصاب وخوادم القيادة والتحكم عبر Firebase Base Messaging (FCM). Firebase عبارة عن نظام أساسي لتطوير الأجهزة المحمولة يوفر العديد من الوظائف الأساسية ، بما في ذلك الاستضافة في الوقت الفعلي للمحتوى وقواعد البيانات والإشعارات والمصادقة الاجتماعية بالإضافة إلى العديد من الوظائف الأخرى.

يبدو أن المهمة الأساسية لـ FastFire هي تنفيذ وظيفة استدعاء الرابط العميق. ومع ذلك ، في وقت البحث ، لم يتم تنفيذ هذه الوظيفة بالكامل. كما لاحظ الباحثون وجود عدة فصول لم يتم تنفيذها على الإطلاق.