FastFire

Групата APT (Advanced Persistent Threat) Kimsuki допълнително разшири злонамерения си арсенал, като добави три нови заплахи за зловреден софтуер, според констатациите на експерти по киберсигурност. Инструментите за атака бяха анализирани от изследователите на южнокорейска компания за киберсигурност и получиха имената FastFire , FastViewer и FastSpy.

Смята се, че хакерската група Kimsuki (Thallium, Black Banshee, Velvet Chollima) е активна най-малко от 2012 г. и изглежда е подкрепяна от севернокорейското правителство. Операциите му за атака са фокусирани предимно върху отделни цели или организации, разположени в Южна Корея, Япония и САЩ. Очевидната цел на заплашващите кампании е да се събере чувствителна информация от жертвите, работещи в областта на медиите, политиката, изследванията и дипломацията.

Подробности за FastFire

Заплахата FastFire е мобилна заплаха, която показва признаци, че все още е в процес на активно развитие. Заплашителният APK се маскира като добавка за сигурност на Google. След като бъде инсталиран на устройството с Android, FastFire ще скрие иконата си за стартиране, за да избегне привличането на вниманието на жертвата. След това зловредният софтуер ще предаде токен на устройство към сървърите за командване и управление (C&C, C2) на операцията и ще изчака командата да бъде изпратена обратно. Комуникацията между заразеното устройство и C&C сървърите се осъществява чрез Firebase Base Messaging (FCM). Firebase е платформа за мобилна разработка, която предлага множество основни функции, включително хостинг в реално време на съдържание, бази данни, известия, социално удостоверяване, както и много други функции.

Основната задача на FastFire изглежда е изпълнението на функция за извикване на дълбока връзка. Въпреки това, в момента на проучването, тази функционалност не е напълно внедрена. Изследователите също така отбелязват наличието на няколко класа, които изобщо не се изпълняват.

FastFire видео

Съвет: Вклучите звука игледайте видеото в режим на цял екран.