A GambleForce nevű eddig ismeretlen hackercsoportot legalább 2023 szeptemberétől kezdődően sorozatban fellépő SQL injection támadásokhoz kötik, olyan vállalatok ellen, amelyek elsősorban az Ázsia-Csendes-óceáni régióban (APAC) működnek.
“A GambleForce egyszerű, ugyanakkor hatékony technikákat alkalmaz, beleértve az SQL injectiont és a sebezhető webes tartalomkezelő rendszerek (CMS) kihasználását a felhasználói hitelesítő adatok, például jelszavak ellopására,” áll a Group-IB által a The Hacker News számára megosztott jelentésben, a székhelyünkön, Szingapúrban.
A csoport becslései szerint 24 szervezetet vett célba az ausztrál, brazil, kínai, indiai, indonéz, filippínó, dél-koreai és thai szerencsejáték, kormány, kiskereskedelem és utazás területén. Ezek közül hat támadás volt sikeres.
A GambleForce működési módja kizárólagosan az open-source eszközökre támaszkodik, mint például a dirsearch, sqlmap, tinyproxy és redis-rogue-getshell, a támadások különböző szakaszaiban a kompromittált hálózatokból érzékeny információk kiszivárogtatásának végső céljával.
A fenyegetési tényező által használt eszközök között szerepel a törvényes utókiaknak való Cobalt Strike keretrendszer is. Érdekesség, hogy a támadás infrastruktúráján felfedezett eszköz verziója kínai parancsokat használt, habár a csoport eredete messze nem egyértelmű.
A támadási láncok magukban foglalják az áldozatok nyilvánosan elérhető alkalmazásainak visszaéléseit SQL injection kihasználásával, valamint a CVE-2023-23752 sebezhetőség kihasználását a Joomla CMS-ben, hogy jogosulatlan hozzáférést szerezzenek egy brazíliai vállalathoz.
Jelenleg nem ismert, hogyan használja fel a GambleForce az ellopott információkat. A kiberbiztonsági cég azt állította, hogy leállította az ellenfél irányító- és ellenőrző (C2) szerverét, és értesítette az azonosított áldozatokat.
“A webes beillesztések a legrégebbi és legnépszerűbb támadási vektorok közé tartoznak,” mondta Nikita Rostovcev, a Group-IB vezető fenyegetésanalitikusa.
“És az az ok, hogy néha a fejlesztők figyelmen kívül hagyják a bemeneti biztonság és az adatellenőrzés fontosságát. Biztonságtalan kódolási gyakorlatok, helytelen adatbázisbeállítások és elavult szoftverek teremtenek megfelelő környezetet az SQL injection támadásokhoz a webalkalmazásokon.”
