I ricercatori hanno individuato un nuovo attore di minacce che prende di mira le organizzazioni nella regione Asia-Pacifico con attacchi SQL injection utilizzando nient’altro che strumenti di penetration test open source disponibili al pubblico.
I cacciatori di minacce di Group-IB hanno individuato per la prima volta il nuovo gruppo a settembre, prendendo di mira le società di gioco d'azzardo nella regione e chiamandolo "GambleForce". Nei tre mesi successivi, il gruppo ha preso di mira organizzazioni di diversi altri settori, tra cui siti web governativi, di vendita al dettaglio, di viaggi e di lavoro.
La campagna GambleForce
In un rapporto di questa settimana, Group-IB ha affermato di aver finora osservato attacchi GambleForce contro almeno due dozzine di organizzazioni in Australia, Indonesia, Filippine, India e Corea del Sud. “In alcuni casi, gli aggressori si sono fermati dopo aver effettuato la ricognizione”, ha affermato l’analista senior delle minacce di Group-IB Ha scritto Nikita Rostovcev. "In altri casi, hanno estratto con successo database di utenti contenenti login e password con hash, insieme a elenchi di tabelle da database accessibili."
Gli attacchi SQL injection sono exploit in cui un attore della minaccia esegue azioni non autorizzate, come recuperare, modificare o eliminare dati, in un database di un'applicazione Web sfruttando le vulnerabilità che consentono dichiarazioni dannose da inserire nei campi di input e nei parametri elaborati dal database. Le vulnerabilità SQL injection rimangono una delle vulnerabilità delle applicazioni Web più comuni e di cui si tiene conto Il 33% di tutti i difetti delle applicazioni Web scoperti in 2022.
"Gli attacchi SQL persistono perché sono semplici per natura", ha affermato Group-IB. "Le aziende spesso trascurano quanto siano cruciali la sicurezza degli input e la convalida dei dati, il che porta a pratiche di codifica vulnerabili, software obsoleti e impostazioni di database inadeguate", ha affermato Rostovcev.
Ciò che rende degna di nota la campagna di GambleForce in questo contesto è la dipendenza dell'autore della minaccia da software di test di penetrazione disponibili al pubblico per eseguire questi attacchi. Quando gli analisti di Group-IB hanno recentemente analizzato gli strumenti ospitati sul server di comando e controllo (C2) dell'autore della minaccia, non sono riusciti a trovare un singolo strumento personalizzato. Invece, tutte le armi di attacco sul server erano utility software pubblicamente disponibili che l’autore della minaccia sembra aver selezionato appositamente per eseguire attacchi SQL injection.
Strumenti di pen-test disponibili pubblicamente
L'elenco degli strumenti scoperti da Group-IB sul server C2 includeva dirsearch, uno strumento per scoprire file e directory nascosti su un sistema; redis-rogue-getshell, uno strumento che consente l'esecuzione di codice remoto su installazioni Redis; e sqlmap, per trovare e sfruttare le vulnerabilità SQL in un ambiente. Group-IB ha anche scoperto GambleForce utilizzando il popolare strumento di pen-testing open source Cobalt Strike per operazioni post-compromesso.
La versione Cobalt Strike scoperta sul server C2 utilizzava comandi cinesi. Ma questo da solo non è una prova del paese di origine del gruppo pericoloso, ha affermato il fornitore di servizi di sicurezza. Un altro indizio sulla potenziale base del gruppo di minacce era il server C2 che caricava un file da una fonte che ospitava un framework in lingua cinese per la creazione e la gestione di reverse shell su sistemi compromessi.
Secondo Group-IB, la telemetria disponibile suggerisce che gli autori di GambleForce non cercano dati specifici quando attaccano ed estraggono dati da database di applicazioni Web compromessi. Invece, l’autore della minaccia ha tentato di esfiltrare tutti i dati su cui riesce a mettere le mani, inclusi testo in chiaro e credenziali utente con hash. Tuttavia, non è chiaro in che modo esattamente l'autore della minaccia potrebbe utilizzare i dati esfiltrati, ha affermato il fornitore di sicurezza.
I ricercatori del Group-IB hanno bloccato il server C2 dell'autore della minaccia subito dopo averlo scoperto. "Tuttavia, riteniamo che GambleForce molto probabilmente si riorganizzerà e ricostruirà la propria infrastruttura in breve tempo e lancerà nuovi attacchi", ha affermato Rostovcev.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud-security/gambleforce-threat-actor-sql-injection-attacks
- :ha
- :È
- :non
- :Dove
- 2022
- 7
- a
- WRI
- accessibile
- contabilizzati
- operanti in
- azioni
- attori
- Vantaggio
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- Tutti
- consentire
- da solo
- lungo
- anche
- an
- analista
- Gli analisti
- analizzato
- ed
- Un altro
- in qualsiasi
- appare
- Applicazioni
- SONO
- At
- attacco
- Attaccare
- attacchi
- il tentativo
- Australia
- disponibile
- sfondo
- base
- BE
- perché
- stato
- prima
- dietro
- CREDIAMO
- ma
- by
- Campagna
- Materiale
- trasportare
- casi
- Cinese
- Cobalto
- codice
- codifica
- Uncommon
- Aziende
- Compromissione
- non poteva
- nazione
- Creazione
- Credenziali
- critico
- costume
- dati
- Banca Dati
- banche dati
- directory
- scoperto
- scoprire
- giù
- dozzina
- Abilita
- Ambiente
- prova
- di preciso
- esegue
- esecuzione
- esecuzione
- sfruttando
- gesta
- lontano
- campi
- Compila il
- File
- Trovate
- ricerca
- Nome
- Nel
- Contesto
- da
- Gioco d'azzardo
- Enti Pubblici
- Gruppo
- Mani
- hash
- Avere
- nascosto
- Casa
- ospitato
- Come
- Tuttavia
- HTTPS
- in
- In altre
- incluso
- Compreso
- India
- Indonesia
- Infrastruttura
- ingresso
- invece
- ai miglioramenti
- IT
- SUO
- Lavoro
- jpg
- Corea
- lanciare
- laico
- Leads
- meno
- piace
- probabile
- Lista
- elenchi
- Caricamento in corso
- Lunghi
- cerca
- FA
- gestione
- forza
- modificare
- mese
- Scopri di più
- maggior parte
- Detto
- Natura
- New
- degno di nota
- Niente
- of
- di frequente
- on
- ONE
- aprire
- open source
- Operazioni
- or
- organizzazioni
- origine
- Altro
- su
- parametri
- Le password
- penetrazione
- esecuzione
- Philippines
- Platone
- Platone Data Intelligence
- PlatoneDati
- Popolare
- potenziale
- pratiche
- i processi
- pubblicamente
- recentemente
- regione
- fiducia
- rimanere
- a distanza
- rapporto
- ricercatori
- nello specifico retail
- invertire
- s
- Suddetto
- Settori
- problemi di
- selezionato
- anziano
- Settembre
- server
- impostazioni
- alcuni
- Un'espansione
- da
- singolo
- So
- finora
- Software
- alcuni
- presto
- Fonte
- Sud
- Corea del Sud
- specifico
- in particolare
- dichiarazioni
- fermato
- memorizzati
- sciopero
- Corda
- Con successo
- suggerisce
- sistema
- SISTEMI DI TRATTAMENTO
- presa
- mirata
- mira
- Testing
- di
- che
- Il
- loro
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- questa settimana
- minaccia
- tre
- a
- ha preso
- strumenti
- viaggiare
- seconda
- non autorizzato
- utilizzato
- Utente
- utilizzando
- utilità
- convalida
- venditore
- versione
- vulnerabilità
- Vulnerabile
- Prima
- we
- Armi
- sito web
- applicazione web
- siti web
- settimana
- sono stati
- qualunque
- quando
- quale
- con
- zefiro
