A kutatók egy új fenyegetést fedeztek fel, amely az ázsiai-csendes-óceáni térség szervezeteit célozza meg SQL-injekciós támadásokkal, csupán nyilvánosan elérhető, nyílt forráskódú behatolástesztelő eszközökkel.
A Group-IB fenyegetésvadászai először szeptemberben vették észre az új csoportot, amely a régió szerencsejáték-vállalatait célozta meg, és a „GambleForce” nevet adta. Az azóta eltelt három hónapban a csoport több más szektor szervezeteit is megcélozta, beleértve a kormányzati, kiskereskedelmi, utazási és munkaügyi webhelyeket.
A GambleForce kampány
A Group-IB egy e heti jelentésében azt mondta, hogy eddig legalább két tucat szervezet elleni GambleForce-támadást figyeltek meg Ausztráliában, Indonéziában, a Fülöp-szigeteken, Indiában és Dél-Koreában. „Bizonyos esetekben a támadók felderítést követően megálltak” – mondta az IB csoport vezető fenyegetettségi elemzője Nyikita Rostovcev írta. „Más esetekben sikeresen kinyerték a bejelentkezési adatokat és a kivonatolt jelszavakat tartalmazó felhasználói adatbázisokat, valamint az elérhető adatbázisokból származó táblázatok listáját.”
Az SQL injekciós támadások olyan kihasználások, amelyek során a fenyegetés szereplői jogosulatlan műveleteket hajtanak végre – például adatokat kérnek le, módosítanak vagy törölnek – egy webalkalmazás-adatbázisban, kihasználva azokat a biztonsági réseket, amelyek lehetővé teszik rosszindulatú nyilatkozatokat kell beilleszteni az adatbázis által feldolgozott beviteli mezőkbe és paraméterekbe. Az SQL-befecskendezési sebezhetőségek továbbra is az egyik leggyakoribb webalkalmazás-sebezhetőség, és ezekről számolni kell A webalkalmazások összes felfedezett hibájának 33%-a A 2022.
„Az SQL-támadások továbbra is fennállnak, mert természetüknél fogva egyszerűek” – mondta a Group-IB. "A vállalatok gyakran figyelmen kívül hagyják, hogy mennyire kritikus a bemeneti biztonság és az adatok ellenőrzése, ami sebezhető kódolási gyakorlatokhoz, elavult szoftverekhez és helytelen adatbázis-beállításokhoz vezet" - mondta Rostovcev.
Ami miatt a GambleForce kampánya figyelemreméltó ebben a háttérben, az az, hogy a fenyegetés szereplői nyilvánosan elérhető penetrációt vizsgáló szoftverekre támaszkodnak ezeknek a támadásoknak a végrehajtásában. Amikor a Group-IB elemzői a közelmúltban elemezték a fenyegetés szereplőjének parancs- és vezérlőkiszolgálóján (C2) tárolt eszközöket, egyetlen egyéni eszközt sem találtak. Ehelyett a szerveren lévő összes támadófegyver nyilvánosan elérhető szoftver segédprogram volt, amelyet a fenyegetés szereplője kifejezetten SQL injekciós támadások végrehajtására választott ki.
Nyilvánosan elérhető tolltesztelő eszközök
A Group IB által a C2-szerveren felfedezett eszközök listája tartalmazza a dirsearch-t, a rejtett fájlok és könyvtárak felderítésére szolgáló eszközt a rendszeren; redis-rogue-getshell, egy eszköz, amely lehetővé teszi a távoli kódfuttatást Redis-telepítéseken; és sqlmap, az SQL sebezhetőségeinek megtalálásához és kihasználásához egy környezetben. A Group-IB felfedezte a GambleForce-t is a népszerű Cobalt Strike tolltesztelő eszköz segítségével a kompromisszum utáni műveletekhez.
A C2 szerveren felfedezett Cobalt Strike verzió kínai parancsokat használt. De ez önmagában nem bizonyíték a fenyegető csoport származási országára – mondta a biztonsági árus. Egy másik utalás a fenyegetettségi csoport potenciális otthoni bázisára az volt, hogy a C2-szerver egy olyan forrásból tölt be egy fájlt, amely kínai nyelvű keretrendszert tartalmazott a feltört rendszerek fordított shell-einek létrehozására és kezelésére.
A Group-IB szerint a rendelkezésre álló telemetriai adatok azt sugallják, hogy a GambleForce szereplői nem keresnek semmilyen konkrét adatot, amikor megtámadják és adatokat nyernek ki a feltört webalkalmazás-adatbázisokból. Ehelyett a fenyegetés szereplője megpróbált kiszűrni minden olyan adatot, amelyre csak ráteheti, beleértve az egyszerű szöveget és a kivonatolt felhasználói hitelesítő adatokat. Az azonban nem világos, hogy a fenyegetés szereplője pontosan hogyan használja fel a kiszűrt adatokat – mondta a biztonsági szolgáltató.
Az IB csoport kutatói nem sokkal azután, hogy felfedezték, leszerelték a fenyegetőző C2-es szerverét. "Mindazonáltal úgy gondoljuk, hogy a GambleForce valószínűleg rövid időn belül újracsoportosítja és újjáépíti infrastruktúráját, és új támadásokat indít" - mondta Rostovcev.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cloud-security/gambleforce-threat-actor-sql-injection-attacks
- :van
- :is
- :nem
- :ahol
- 2022
- 7
- a
- Rólunk
- hozzáférhető
- elszámolni
- át
- cselekvések
- szereplők
- Előny
- Után
- ellen
- Minden termék
- lehetővé
- kizárólag
- mentén
- Is
- an
- elemző
- Az elemzők
- elemzett
- és a
- Másik
- bármilyen
- Megjelenik
- Alkalmazás
- VANNAK
- At
- támadás
- Támadó
- Támadások
- megkísérlése
- Ausztrália
- elérhető
- háttér
- bázis
- BE
- mert
- óta
- előtt
- mögött
- Hisz
- de
- by
- Kampány
- TUD
- visz
- esetek
- kínai
- Kobalt
- kód
- Kódolás
- Közös
- Companies
- Veszélyeztetett
- nem tudott
- ország
- létrehozása
- Hitelesítő adatok
- kritikai
- szokás
- dátum
- adatbázis
- adatbázisok
- könyvtárak
- felfedezett
- felfedezése
- le-
- tucat
- lehetővé teszi
- Környezet
- bizonyíték
- pontosan
- végrehajtja
- végrehajtó
- végrehajtás
- kiaknázása
- hasznosítja
- messze
- Fields
- filé
- Fájlok
- Találjon
- megtalálása
- vezetéknév
- A
- Keretrendszer
- ból ből
- Szerencsejáték
- Kormány
- Csoport
- kezek
- hash
- Legyen
- Rejtett
- Kezdőlap
- házigazdája
- Hogyan
- azonban
- HTTPS
- in
- Más
- beleértve
- Beleértve
- India
- Indonézia
- Infrastruktúra
- bemenet
- helyette
- bele
- IT
- ITS
- Munka
- jpg
- korea
- indít
- világi
- vezetékek
- legkevésbé
- mint
- Valószínű
- Lista
- listák
- betöltés
- Hosszú
- keres
- KÉSZÍT
- kezelése
- esetleg
- módosítása
- hónap
- több
- a legtöbb
- Nevezett
- Természet
- Új
- figyelemre méltó
- semmi
- of
- gyakran
- on
- ONE
- nyitva
- nyílt forráskódú
- Művelet
- or
- szervezetek
- származás
- Más
- ki
- paraméterek
- jelszavak
- behatolás
- előadó
- Fülöp-szigetek
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- potenciális
- gyakorlat
- Folyamatok
- nyilvánosan
- nemrég
- vidék
- bizalom
- marad
- távoli
- jelentést
- kutatók
- kiskereskedelem
- fordított
- s
- Mondott
- ágazatok
- biztonság
- kiválasztott
- idősebb
- szeptember
- szerver
- beállítások
- számos
- Egyszerű
- óta
- egyetlen
- So
- eddig
- szoftver
- néhány
- nemsokára
- forrás
- Dél
- Dél-Korea
- különleges
- kifejezetten
- nyilatkozatok
- megállt
- memorizált
- sztrájk
- Húr
- sikeresen
- javasolja,
- rendszer
- Systems
- bevétel
- célzott
- célzás
- Tesztelés
- mint
- hogy
- A
- azok
- Ezek
- ők
- ezt
- ezen a héten
- fenyegetés
- három
- nak nek
- vett
- szerszám
- szerszámok
- utazás
- kettő
- jogtalan
- használt
- használó
- segítségével
- segédprogramok
- érvényesítés
- eladó
- változat
- sérülékenységek
- Sebezhető
- volt
- we
- Fegyverek
- háló
- webalkalmazás
- honlapok
- hét
- voltak
- bármi
- amikor
- ami
- val vel
- zephyrnet