Ranije nepoznatoj hakerskoj grupi pod nazivom GambleForce pripisan je niz SQL injekcijskih napada na kompanije prvenstveno u Azijsko-pacifičkom regionu (APAC ) počevši od septembra 2023.
“GambleForce koristi skup osnovnih, ali vrlo učinkovitih tehnika, uključujući SQL injekcije i eksploataciju ranjivih sistema za upravljanje sadržajem web stranice (CMS) za krađu osjetljivih informacija, kao što su korisnički akreditivi,” navodi Grupa-IB sa sjedištem u Singapuru u izvještaju podijeljenom za The Hacker News.
Procjenjuje se da je grupa ciljala 24 organizacije u sektoru kockanja, vlade, maloprodaje i putovanja širom Australije, Brazila, Kine, Indije, Indonezije, Filipina, Južne Koreje i Tajlanda. Šest od ovih napada bilo je uspješno.
Način rada GambleForce-a je isključivo oslanjanje na alate otvorenog koda kao što su dirsearch, sqlmap , tinyproxy i redis-rogue-getshell< a i=8> u različitim fazama napada s krajnjim ciljem eksfiltracije osjetljivih informacija iz kompromitovanih mreža.
Također, haker koristi legitimni post-eksploatacijski okvir poznat kao Cobalt Strike. Zanimljivo je da je verzija alata otkrivena na infrastrukturi napada koristila komande na kineskom, iako je porijeklo grupe daleko od jasnog.
Lanci napada podrazumijevaju iskorištavanje javne aplikacije žrtve korištenjem SQL injekcija, kao i eksploatacijom CVE-2023-23752, srednje ozbiljne greške u Joomla CMS-u, za dobijanje neovlaštenog pristupa brazilskoj kompaniji.
SQL injekcije prate sqlmap, popularni open-source alat za pentestiranje koji je dizajniran za automatizaciju procesa identifikacije servera baze podataka ranjivih na SQL injekcije i njihovog naoružavanja kako bi preuzeli sisteme.
U takvim napadima, hakeri ubrizgavaju zlonamjerni SQL kod u javnu web stranicu ciljane web aplikacije, omogućavajući im da zaobiđu zadanu zaštitu autentifikacije i pristupe osjetljivim podacima, kao što su heširani i otvoreni tekstovi korisničkih kredencijala.
Trenutno nije poznato kako GambleForce koristi ukradene informacije. Firma za sajber bezbjednost je rekla da je takođe uklonila protivnikov server za komandu i kontrolu (C2) i obavijestila identifikovane žrtve.
“Web injekcije su među najstarijim i najpopularnijim vektorima napada,” rekao je Nikita Rostovcev, viši analitičar prijetnji u Grupi-IB.
“A razlog je taj što programeri ponekad zanemaruju važnost sigurnosti unosa i validacije podataka. Nesigurne prakse kodiranja, netačne postavke baze podataka i zastarjeli softver stvaraju plodno okruženje za napade SQL injekcije na web aplikacije.”
Izvor: The Hacker News
