Új „GambleForce” fenyegetőszereplő az SQL-injekciós támadások sorozata mögött

A kutatók egy új fenyegetést fedeztek fel, amely az ázsiai-csendes-óceáni térség szervezeteit célozza meg SQL-injekciós támadásokkal, csupán nyilvánosan elérhető, nyílt forráskódú behatolástesztelő eszközökkel.

A Group-IB fenyegetésvadászai először szeptemberben vették észre az új csoportot, amely a régió szerencsejáték-vállalatait célozta meg, és a „GambleForce” nevet adta. Az azóta eltelt három hónapban a csoport több más szektor szervezeteit is megcélozta, beleértve a kormányzati, kiskereskedelmi, utazási és munkaügyi webhelyeket.

A GambleForce kampány

A Group-IB egy e heti jelentésében azt mondta, hogy eddig legalább két tucat szervezet elleni GambleForce-támadást figyeltek meg Ausztráliában, Indonéziában, a Fülöp-szigeteken, Indiában és Dél-Koreában. „Bizonyos esetekben a támadók felderítést követően megálltak” – mondta az IB csoport vezető fenyegetettségi elemzője Nyikita Rostovcev írta. „Más esetekben sikeresen kinyerték a bejelentkezési adatokat és a kivonatolt jelszavakat tartalmazó felhasználói adatbázisokat, valamint az elérhető adatbázisokból származó táblázatok listáját.”

Az SQL injekciós támadások olyan kihasználások, amelyek során a fenyegetés szereplői jogosulatlan műveleteket hajtanak végre – például adatokat kérnek le, módosítanak vagy törölnek – egy webalkalmazás-adatbázisban, kihasználva azokat a biztonsági réseket, amelyek lehetővé teszik rosszindulatú nyilatkozatokat kell beilleszteni az adatbázis által feldolgozott beviteli mezőkbe és paraméterekbe. Az SQL-befecskendezési sebezhetőségek továbbra is az egyik leggyakoribb webalkalmazás-sebezhetőség, és ezekről számolni kell A webalkalmazások összes felfedezett hibájának 33%-a A 2022.

„Az SQL-támadások továbbra is fennállnak, mert természetüknél fogva egyszerűek” – mondta a Group-IB. "A vállalatok gyakran figyelmen kívül hagyják, hogy mennyire kritikus a bemeneti biztonság és az adatok ellenőrzése, ami sebezhető kódolási gyakorlatokhoz, elavult szoftverekhez és helytelen adatbázis-beállításokhoz vezet" - mondta Rostovcev.

Ami miatt a GambleForce kampánya figyelemreméltó ebben a háttérben, az az, hogy a fenyegetés szereplői nyilvánosan elérhető penetrációt vizsgáló szoftverekre támaszkodnak ezeknek a támadásoknak a végrehajtásában. Amikor a Group-IB elemzői a közelmúltban elemezték a fenyegetés szereplőjének parancs- és vezérlőkiszolgálóján (C2) tárolt eszközöket, egyetlen egyéni eszközt sem találtak. Ehelyett a szerveren lévő összes támadófegyver nyilvánosan elérhető szoftver segédprogram volt, amelyet a fenyegetés szereplője kifejezetten SQL injekciós támadások végrehajtására választott ki.

Nyilvánosan elérhető tolltesztelő eszközök

A Group IB által a C2-szerveren felfedezett eszközök listája tartalmazza a dirsearch-t, a rejtett fájlok és könyvtárak felderítésére szolgáló eszközt a rendszeren; redis-rogue-getshell, egy eszköz, amely lehetővé teszi a távoli kódfuttatást Redis-telepítéseken; és sqlmap, az SQL sebezhetőségeinek megtalálásához és kihasználásához egy környezetben. A Group-IB felfedezte a GambleForce-t is a népszerű Cobalt Strike tolltesztelő eszköz segítségével a kompromisszum utáni műveletekhez.

A C2 szerveren felfedezett Cobalt Strike verzió kínai parancsokat használt. De ez önmagában nem bizonyíték a fenyegető csoport származási országára – mondta a biztonsági árus. Egy másik utalás a fenyegetettségi csoport potenciális otthoni bázisára az volt, hogy a C2-szerver egy olyan forrásból tölt be egy fájlt, amely kínai nyelvű keretrendszert tartalmazott a feltört rendszerek fordított shell-einek létrehozására és kezelésére.

A Group-IB szerint a rendelkezésre álló telemetriai adatok azt sugallják, hogy a GambleForce szereplői nem keresnek semmilyen konkrét adatot, amikor megtámadják és adatokat nyernek ki a feltört webalkalmazás-adatbázisokból. Ehelyett a fenyegetés szereplője megpróbált kiszűrni minden olyan adatot, amelyre csak ráteheti, beleértve az egyszerű szöveget és a kivonatolt felhasználói hitelesítő adatokat. Az azonban nem világos, hogy a fenyegetés szereplője pontosan hogyan használja fel a kiszűrt adatokat – mondta a biztonsági szolgáltató.

Az IB csoport kutatói nem sokkal azután, hogy felfedezték, leszerelték a fenyegetőző C2-es szerverét. "Mindazonáltal úgy gondoljuk, hogy a GambleForce valószínűleg rövid időn belül újracsoportosítja és újjáépíti infrastruktúráját, és új támadásokat indít" - mondta Rostovcev.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cloud-security/gambleforce-threat-actor-sql-injection-attacks