FastFire

Autorius Mezo, Mobile Malware, Advanced Persistent Threat (APT)

Versti į:

Remiantis kibernetinio saugumo ekspertų išvadomis, APT (Advanced Persistent Threat) grupė „Kimsuki“ dar labiau išplėtė savo kenkėjiškų programų arsenalą, įtraukdama tris naujas kenkėjiškų programų grėsmes. Atakos įrankius išanalizavo Pietų Korėjos kibernetinio saugumo įmonės tyrėjai ir jiems suteikė FastFire , FastViewer ir FastSpy pavadinimus.

Manoma, kad Kimsuki įsilaužėlių grupuotė (Thallium, Black Banshee, Velvet Chollima) veikė mažiausiai nuo 2012 m. ir atrodo, kad ją remia Šiaurės Korėjos vyriausybė. Jos atakų operacijos daugiausia buvo nukreiptos į atskirus taikinius ar organizacijas, esančias Pietų Korėjoje, Japonijoje ir JAV. Akivaizdus grasinančių kampanijų tikslas yra rinkti slaptą informaciją iš aukų, dirbančių žiniasklaidos, politikos, tyrimų ir diplomatijos srityse.

„FastFire“ informacija

„FastFire“ grėsmė yra mobilioji grėsmė, kuri rodo, kad ji vis dar aktyviai vystoma. Grėsmingas APK pridengtas kaip „Google“ saugos papildinys. Įdiegus „Android“ įrenginį, „FastFire“ paslėps paleidimo piktogramą, kad nepatrauktų aukos dėmesio. Tada kenkėjiška programa perduos įrenginio prieigos raktą į operacijos komandų ir valdymo (C&C, C2) serverius ir lauks, kol komanda bus išsiųsta atgal. Ryšys tarp užkrėsto įrenginio ir C&C serverių vykdomas naudojant „Firebase Base Messaging“ (FCM). „Firebase“ yra mobiliojo ryšio kūrimo platforma, siūlanti daugybę esminių funkcijų, įskaitant turinio prieglobą realiuoju laiku, duomenų bazes, pranešimus, socialinį autentifikavimą ir daugybę kitų funkcijų.

Atrodo, kad pagrindinė FastFire užduotis yra giliųjų nuorodų iškvietimo funkcijos vykdymas. Tačiau tyrimo metu ši funkcija nebuvo visiškai įdiegta. Tyrėjai taip pat pažymi, kad yra keletas klasių, kurios visai nevykdomos.