FastFire

Mezo'de Mobile Malware, Advanced Persistent Threat (APT)'de

Çevir:

APT (Gelişmiş Kalıcı Tehdit) grubu Kimsuki, siber güvenlik uzmanlarının bulgularına göre üç yeni kötü amaçlı yazılım tehdidi ekleyerek kötü niyetli cephaneliğini daha da genişletti. Saldırı araçları, Güney Koreli bir siber güvenlik şirketindeki araştırmacılar tarafından analiz edildi ve FastFire , FastViewer ve FastSpy isimleri verildi.

Kimsuki hacker grubunun (Thallium, Black Banshee, Velvet Chollima) en az 2012'den beri aktif olduğuna ve Kuzey Kore hükümeti tarafından desteklendiğine inanılıyor. Saldırı operasyonları çoğunlukla Güney Kore, Japonya ve ABD'de bulunan bireysel hedeflere veya kuruluşlara odaklandı. Tehdit kampanyalarının görünen amacı, medya, siyaset, araştırma ve diplomasi alanlarında çalışan mağdurlardan hassas bilgiler toplamaktır.

FastFire Ayrıntıları

FastFire tehdidi, halen aktif olarak geliştirilme aşamasında olduğuna dair işaretler gösteren bir mobil tehdittir. Tehditkar APK, bir Google güvenlik eklentisi gibi görünüyor. Android cihaza yüklendikten sonra FastFire, kurbanın dikkatini çekmemek için başlatıcı simgesini gizleyecektir. Kötü amaçlı yazılım daha sonra operasyonun Komuta ve Kontrol (C&C, C2) sunucularına bir cihaz belirteci iletecek ve bir komutun geri gönderilmesini bekleyecektir. Etkilenen cihaz ile C&C sunucuları arasındaki iletişim, Firebase Base Messaging (FCM) aracılığıyla gerçekleştirilir. Firebase, gerçek zamanlı içerik barındırma, veritabanları, bildirimler, sosyal kimlik doğrulama ve diğer birçok işlev dahil olmak üzere çok sayıda temel işlev sunan bir mobil geliştirme platformudur.

FastFire'ın birincil görevi, derin bağlantı çağırma işlevinin yürütülmesi gibi görünüyor. Ancak, araştırma anında bu işlevsellik tam olarak uygulanmadı. Araştırmacılar ayrıca, hiç yürütülmeyen birkaç sınıfın varlığına da dikkat çekiyor.