FastFire

โดย Mezo ใน Mobile Malware, Advanced Persistent Threat (APT)

แปลเป็น:

Kimsuki กลุ่ม APT (Advanced Persistent Threat) ได้ขยายคลังอาวุธที่เป็นอันตรายเพิ่มเติมโดยเพิ่มภัยคุกคามมัลแวร์ใหม่ 3 รายการตามการค้นพบของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ เครื่องมือโจมตีได้รับการวิเคราะห์โดยนักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้ และตั้งชื่อว่า FastFire , FastViewer และ FastSpy

กลุ่มแฮ็กเกอร์ Kimsuki (Thallium, Black Banshee, Velvet Chollima) เชื่อว่ามีการใช้งานมาอย่างน้อยตั้งแต่ปี 2012 และดูเหมือนว่าจะได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ปฏิบัติการโจมตีมุ่งเป้าไปที่เป้าหมายส่วนบุคคลหรือองค์กรที่ตั้งอยู่ในเกาหลีใต้ ญี่ปุ่น และสหรัฐอเมริกาเป็นส่วนใหญ่ เป้าหมายที่ชัดเจนของการรณรงค์ที่คุกคามคือการรวบรวมข้อมูลที่ละเอียดอ่อนจากผู้ที่ตกเป็นเหยื่อที่ทำงานด้านสื่อ การเมือง การวิจัย และการทูต

รายละเอียด FastFire

ภัยคุกคามจาก FastFire เป็นภัยคุกคามบนมือถือที่แสดงสัญญาณว่ายังอยู่ระหว่างการพัฒนา APK ที่คุกคามปลอมแปลงเป็นปลั๊กอินความปลอดภัยของ Google หลังจากติดตั้งบนอุปกรณ์ Android แล้ว FastFire จะซ่อนไอคอนตัวเรียกใช้เพื่อหลีกเลี่ยงการดึงดูดความสนใจของเหยื่อ จากนั้นมัลแวร์จะส่งโทเค็นของอุปกรณ์ไปยังเซิร์ฟเวอร์ Command-and-Control (C&C, C2) ของการดำเนินการ และรอคำสั่งที่จะถูกส่งกลับ การสื่อสารระหว่างอุปกรณ์ที่ติดไวรัสและเซิร์ฟเวอร์ C&C ดำเนินการผ่าน Firebase Base Messaging (FCM) Firebase คือแพลตฟอร์มการพัฒนาอุปกรณ์พกพาที่มีฟังก์ชันที่จำเป็นมากมาย รวมถึงการโฮสต์เนื้อหา ฐานข้อมูล การแจ้งเตือน การตรวจสอบสิทธิ์ทางสังคมแบบเรียลไทม์ และฟังก์ชันอื่นๆ อีกมากมาย

งานหลักของ FastFire ดูเหมือนจะเป็นการดำเนินการของฟังก์ชันการเรียกลิงก์ในรายละเอียด อย่างไรก็ตาม ในขณะที่ทำการวิจัย ฟังก์ชันนี้ยังไม่ได้ใช้งานอย่างสมบูรณ์ นักวิจัยยังสังเกตเห็นว่ามีหลายคลาสที่ไม่ได้ดำเนินการเลย