کمیته رکن چهارم – پژوهشگران امنیت سایبری از یک تاکتیک تازه در کارزار Contagious Interview خبر دادهاند که در آن هکرهای وابسته به دولت کره شمالی با استفاده از سرویسهای ذخیرهسازی JSON، بدافزار مرحلهای را بدون استفاده از سرور فرمان و کنترل اختصاصی منتقل میکنند. در این روش، مهاجمان با ساخت پروفایلهای جعلی در شبکههای حرفهای و ارائه پیشنهاد همکاری، قربانی را به دانلود پروژهای حاوی فایل پیکربندی آلوده ترغیب میکنند.
به گزارش کمیته رکن چهارم، فایل مخرب شامل مقدار رمزگذاریشدهای است که در ظاهر یک API Key به نظر میرسد اما در واقع آدرسی به سرویسهایی مانند jsonkeeper.com یا jsonsilo.com است که بار مرحله بعدی حمله در آن ذخیره شده است. پس از اجرا، ابزارهایی مانند BeaverTail و InvisibleFerret روی سیستم فعال میشوند و دادههایی از جمله فایلها، اطلاعات کاربر و داراییهای دیجیتال را جمعآوری میکنند. برخی بدافزارها نیز قادر به دریافت payload از مسیرهای دارکوب و ابزارهای fingerprinting هستند تا سطح نفوذ افزایش یابد.
بررسیها نشان میدهد توسعهدهندگان نرمافزار، بهویژه کسانی که در پروژههای زیرساختی فعالیت دارند، از اهداف اصلی این کارزار هستند. کارشناسان هشدار میدهند فایلهای ناشناس در مخازن عمومی باید با احتیاط بررسی شوند و ترافیک خروجی به سرویسهای عمومی ذخیرهسازی JSON در محیطهای حساس تحت نظارت قرار گیرد تا خطر نفوذ کاهش یابد.
