Ранее неизвестной хакерской группировке под названием GambleForce приписывается серия SQL-инъекционных атак против компаний, преимущественно в Азиатско-Тихоокеанском регионе (APAC), по крайней мере, с сентября 2023 года.
"GambleForce использует набор базовых, но очень эффективных методов, включая SQL-инъекции и использование уязвимых систем управления контентом веб-сайтов (CMS) для кражи конфиденциальной информации, такой как учетные данные пользователей", - говорится в отчете Group-IB со штаб-квартирой в Сингапуре, которым поделились с Hacker News.
По оценкам, целью группы были 24 организации в сфере азартных игр, государственного управления, розничной торговли и туризма в Австралии, Бразилии, Китае, Индии, Индонезии, Филиппинах, Южной Корее и Таиланде. Шесть из этих атак были успешными.
Принцип работы GambleForce заключается в исключительной зависимости от инструментов с открытым исходным кодом, таких как dirsearch, sqlmap, tinyproxy и redis-rogue-getshell, на разных этапах атак с конечной целью извлечения конфиденциальной информации из скомпрометированных сетей.
Также злоумышленник использовал легитимный фреймворк для последующей эксплуатации, известный как Cobalt Strike. Интересно, что версия инструмента, обнаруженная в его инфраструктуре атаки, использовала команды на китайском языке, хотя происхождение группы далеко не ясно.
Цепочки атак влекут за собой злоупотребление общедоступными приложениями жертв путем использования SQL-инъекций, а также использование CVE-2023-23752, уязвимости средней степени тяжести в CMS Joomla, для получения несанкционированного доступа к бразильской компании.
В настоящее время неизвестно, как GambleForce использует украденную информацию. Фирма по кибербезопасности заявила, что она также отключила командно-контрольный сервер (C2) противника и уведомила идентифицированных жертв.
"Веб-инъекции являются одними из старейших и наиболее популярных векторов атак", - сказал Никита Ростовцев, старший аналитик по угрозам в Group-IB.
"Причина в том, что иногда разработчики упускают из виду важность безопасности ввода и проверки данных. Небезопасные методы кодирования, неправильные настройки базы данных и устаревшее программное обеспечение создают благоприятную среду для атак с использованием SQL-инъекций на веб-приложения".
