FastFire

APT (Advanced Persistent Threat) -ryhmä Kimsuki on edelleen laajentanut haitallisten arsenaaliaan lisäämällä kolme uutta haittaohjelmauhkaa kyberturvallisuusasiantuntijoiden havaintojen mukaan. Eteläkorealaisen kyberturvallisuusyrityksen tutkijat analysoivat hyökkäystyökalut, ja niille annettiin nimet FastFire , FastViewer ja FastSpy.

Kimsuki-hakkeriryhmän (Thallium, Black Banshee, Velvet Chollima) uskotaan olleen aktiivinen ainakin vuodesta 2012 lähtien, ja Pohjois-Korean hallitus näyttää tukeneen sitä. Sen hyökkäysoperaatiot ovat keskittyneet enimmäkseen yksittäisiin kohteisiin tai organisaatioihin, jotka sijaitsevat Etelä-Koreassa, Japanissa ja Yhdysvalloissa. Uhkailukampanjoiden ilmeinen tavoite on kerätä arkaluonteisia tietoja median, politiikan, tutkimuksen ja diplomatian alalla toimivilta uhreilta.

FastFire-tiedot

FastFire-uhka on mobiiliuhka, joka näyttää edelleen olevan aktiivisen kehityksen merkkejä. Uhkaava APK naamioituu Googlen tietoturvalaajennukseksi. Kun FastFire on asennettu Android-laitteeseen, se piilottaa käynnistyskuvakkeensa, jotta se ei kiinnittäisi uhrin huomiota. Haittaohjelma lähettää sitten laitetunnuksen operaation Command-and-Control (C&C, C2) palvelimille ja odottaa komentoa takaisin. Viestintä tartunnan saaneen laitteen ja C&C-palvelimien välillä tapahtuu Firebase Base Messagingin (FCM) kautta. Firebase on mobiilikehitysalusta, joka tarjoaa lukuisia olennaisia toimintoja, mukaan lukien sisällön reaaliaikainen isännöinti, tietokannat, ilmoitukset, sosiaalinen todennus sekä monia muita toimintoja.

FastFiren ensisijainen tehtävä näyttää olevan syvälinkin kutsutoiminnon suorittaminen. Tutkimushetkellä tämä toiminto ei kuitenkaan ollut täysin toteutettu. Tutkijat huomauttavat myös, että on olemassa useita luokkia, joita ei suoriteta ollenkaan.

FastFire Video

Vinkki: Ota ääni käyttöön ja katso video koko näytön tilassa .