Los investigadores han detectado un nuevo actor de amenazas que se dirige a organizaciones de la región de Asia y el Pacífico con ataques de inyección SQL utilizando nada más que herramientas de prueba de penetración de código abierto y disponibles públicamente.
Los cazadores de amenazas de Group-IB detectaron por primera vez al nuevo grupo en septiembre, apuntando a empresas de juegos de azar en la región y lo llamaron "GambleForce". En los tres meses transcurridos desde entonces, el grupo se ha dirigido a organizaciones de varios otros sectores, incluidos sitios web gubernamentales, minoristas, de viajes y de empleo.
La campaña GambleForce
En un informe de esta semana, Group-IB dijo que hasta ahora ha observado ataques de GambleForce contra al menos dos docenas de organizaciones en Australia, Indonesia, Filipinas, India y Corea del Sur. "En algunos casos, los atacantes se detuvieron después de realizar un reconocimiento", dijo el analista senior de amenazas de Group-IB. Nikita Rostovcev escribió. "En otros casos, extrajeron con éxito bases de datos de usuarios que contenían inicios de sesión y contraseñas hash, junto con listas de tablas de bases de datos accesibles".
Los ataques de inyección SQL son exploits en los que un actor de amenazas ejecuta acciones no autorizadas (como recuperar, modificar o eliminar datos) en una base de datos de una aplicación web aprovechando vulnerabilidades que permiten declaraciones maliciosas que se insertarán en campos de entrada y parámetros que procesa la base de datos. Las vulnerabilidades de inyección SQL siguen siendo una de las vulnerabilidades de aplicaciones web más comunes y se tienen en cuenta 33% de todos los fallos descubiertos en aplicaciones web en el 2022.
"Los ataques SQL persisten porque son simples por naturaleza", dijo Group-IB. "Las empresas a menudo pasan por alto cuán críticas son la seguridad de entrada y la validación de datos, lo que conduce a prácticas de codificación vulnerables, software obsoleto y configuraciones inadecuadas de las bases de datos", dijo Rostovcev.
Lo que hace que la campaña de GambleForce sea notable en este contexto es la dependencia del actor de amenazas del software de pruebas de penetración disponible públicamente para llevar a cabo estos ataques. Cuando los analistas de Group-IB analizaron recientemente las herramientas alojadas en el servidor de comando y control (C2) del actor de amenazas, no pudieron encontrar una sola herramienta personalizada. En cambio, todas las armas de ataque en el servidor eran utilidades de software disponibles públicamente que el actor de la amenaza parece haber seleccionado específicamente para ejecutar ataques de inyección SQL.
Herramientas de prueba de penetración disponibles públicamente
La lista de herramientas que Group-IB descubrió en el servidor C2 incluía dirsearch, una herramienta para descubrir archivos y directorios ocultos en un sistema; redis-rogue-getshell, una herramienta que permite la ejecución remota de código en instalaciones de Redis; y sqlmap, para encontrar y explotar vulnerabilidades SQL en un entorno. Group-IB también descubrió GambleForce utilizando la popular herramienta de prueba de código abierto Cobalt Strike para operaciones posteriores al compromiso.
La versión Cobalt Strike descubierta en el servidor C2 utilizaba comandos chinos. Pero eso por sí solo no es evidencia del país de origen del grupo amenazador, dijo el proveedor de seguridad. Otro indicio sobre la posible base de operaciones del grupo de amenazas fue que el servidor C2 cargaba un archivo de una fuente que alojaba un marco en idioma chino para crear y administrar shells inversos en sistemas comprometidos.
Según Group-IB, la telemetría disponible sugiere que los actores de GambleForce no buscan ningún dato específico cuando atacan y extraen datos de bases de datos de aplicaciones web comprometidas. En cambio, el actor de amenazas ha estado intentando exfiltrar todos los datos que pudo conseguir, incluidos texto sin formato y credenciales de usuario hash. Sin embargo, no está claro exactamente cómo el actor de la amenaza podría estar utilizando los datos extraídos, dijo el proveedor de seguridad.
Los investigadores de Group-IB desactivaron el servidor C2 del actor de amenazas poco después de descubrirlo. "Sin embargo, creemos que es más probable que GambleForce se reagrupe y reconstruya su infraestructura en poco tiempo y lance nuevos ataques", dijo Rostovcev.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud-security/gambleforce-threat-actor-sql-injection-attacks
- :posee
- :es
- :no
- :dónde
- 2022
- 7
- a
- Nuestra Empresa
- accesible
- representaron
- a través de
- acciones
- los actores
- Ventaja
- Después
- en contra
- Todos
- permitir
- solo
- a lo largo de
- también
- an
- analista
- Analistas
- analizo
- y
- Otra
- cualquier
- aparece
- Aplicación
- somos
- At
- atacar
- Atacar
- ataques
- intentando
- Australia
- Hoy Disponibles
- fondo
- bases
- BE
- porque
- esto
- antes
- detrás de
- CREEMOS
- pero
- by
- Campaña
- PUEDEN
- llevar
- cases
- chino
- Cobalt
- código
- Codificación
- Algunos
- Empresas
- Comprometida
- couldn
- país
- Creamos
- Referencias
- crítico
- personalizado
- datos
- Base de datos
- bases de datos
- directorios
- descubierto CRISPR
- descubrir
- DE INSCRIPCIÓN
- docena
- permite
- Entorno
- evidencia sólida
- exactamente
- Ejecuta
- ejecución
- ejecución
- explotando
- exploits
- muchos
- Terrenos
- Archive
- archivos
- Encuentre
- la búsqueda de
- Nombre
- Marco conceptual
- Desde
- Apostar
- Gobierno
- Grupo procesos
- Manos
- hash
- Tienen
- Oculto
- Inicio
- organizado
- Cómo
- Sin embargo
- HTTPS
- in
- En otra
- incluido
- Incluye
- India
- Indonesia
- EN LA MINA
- Las opciones de entrada
- dentro
- IT
- SUS
- Trabajos
- jpg
- Corea
- lanzamiento
- poner
- Prospectos
- menos
- como
- que otros
- Lista
- Listas
- carga
- Largo
- mirando
- HACE
- administrar
- podría
- modificar
- meses
- más,
- MEJOR DE TU
- Llamado
- Naturaleza
- Nuevo
- notable
- nada
- of
- a menudo
- on
- ONE
- habiertos
- de código abierto
- Operaciones
- or
- para las fiestas.
- natural
- Otro
- salir
- parámetros
- contraseñas
- precios
- realizar
- Filipinas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Popular
- posible
- prácticas
- en costes
- en público
- recientemente
- región
- dependencia
- permanecer
- sanaciones
- reporte
- investigadores
- el comercio minorista
- marcha atrás
- s
- Said
- Sectores
- EN LINEA
- seleccionado
- mayor
- Septiembre
- servidor
- ajustes
- Varios
- sencillos
- desde
- soltero
- So
- hasta aquí
- Software
- algo
- pronto
- Fuente
- Sur
- Corea del Sur
- soluciones y
- específicamente
- declaraciones
- detenido
- almacenados
- strike
- Cordón
- Con éxito
- Sugiere
- te
- Todas las funciones a su disposición
- toma
- afectados
- orientación
- Pruebas
- que
- esa
- La
- su
- Estas
- ellos
- así
- esta semana
- amenaza
- Tres
- a
- se
- del IRS
- viajes
- dos
- no autorizado
- usado
- Usuario
- usando
- utilidades
- validación
- vendedor
- versión
- Vulnerabilidades
- Vulnerable
- fue
- we
- Armas
- web
- Aplicación web
- sitios web
- semana
- tuvieron
- lo que
- cuando
- que
- zephyrnet
