Cercetătorii au depistat un nou actor de amenințare care vizează organizațiile din regiunea Asia-Pacific cu atacuri de injecție SQL folosind nimic altceva decât instrumente de testare a pătrunderii open source disponibile public.
Vânătorii de amenințări de la Group-IB au observat pentru prima dată noul grup în septembrie, vizând companiile de jocuri de noroc din regiune și l-au numit „GambleForce”. În cele trei luni de atunci, grupul a vizat organizații din alte câteva sectoare, inclusiv site-uri web guvernamentale, retail, călătorii și locuri de muncă.
Campania GambleForce
Într-un raport din această săptămână, Group-IB a declarat că a observat până acum atacuri GambleForce asupra a cel puțin două duzini de organizații din Australia, Indonezia, Filipine, India și Coreea de Sud. „În unele cazuri, atacatorii s-au oprit după ce au efectuat recunoașteri”, a spus un analist senior al amenințărilor Group-IB a scris Nikita Rostovcev. „În alte cazuri, au extras cu succes baze de date de utilizatori care conțin date de conectare și parole codificate, împreună cu liste de tabele din baze de date accesibile.”
Atacurile cu injecție SQL sunt exploatări în care un actor de amenințare execută acțiuni neautorizate - cum ar fi preluarea, modificarea sau ștergerea datelor - într-o bază de date a aplicației web, profitând de vulnerabilitățile care permit declarații rău intenționate să fie introduse în câmpurile de intrare și parametrii pe care îi prelucrează baza de date. Vulnerabilitățile de injectare SQL rămân una dintre cele mai comune vulnerabilități ale aplicațiilor web și sunt luate în considerare 33% din toate defectele descoperite ale aplicațiilor web în 2022.
„Atacurile SQL persistă pentru că sunt simple prin natura lor”, a spus Group-IB. „Companiile trec adesea cu vederea cât de critice sunt securitatea intrărilor și validarea datelor, ceea ce duce la practici vulnerabile de codare, software învechit și setări necorespunzătoare ale bazei de date”, a spus Rostovcev.
Ceea ce face ca campania GambleForce să fie remarcabilă în acest context este dependența actorului de amenințări de software-ul de testare a penetrației disponibil public pentru a efectua aceste atacuri. Când analiștii Group-IB au analizat recent instrumentele găzduite pe serverul de comandă și control (C2) al actorului amenințării, nu au putut găsi un singur instrument personalizat. În schimb, toate armele de atac de pe server erau utilități software disponibile public pe care actorul amenințării pare să le fi selectat în mod special pentru executarea atacurilor cu injecție SQL.
Instrumente de testare a stilourilor disponibile public
Lista instrumentelor pe care Group-IB le-a descoperit pe serverul C2 includea dirsearch, un instrument pentru descoperirea fișierelor și directoarelor ascunse pe un sistem; redis-rogue-getshell, un instrument care permite executarea de cod de la distanță pe instalațiile Redis; și sqlmap, pentru găsirea și exploatarea vulnerabilităților SQL într-un mediu. De asemenea, Group-IB a descoperit GambleForce folosind popularul instrument open source de testare Cobalt Strike pentru operațiunile post-compromis.
Versiunea Cobalt Strike descoperită pe serverul C2 folosea comenzi chinezești. Dar numai asta nu este o dovadă a țării de origine a grupului de amenințare, a spus furnizorul de securitate. Un alt indiciu despre baza potențială a grupului de amenințări a fost serverul C2 care încărca un fișier dintr-o sursă care găzduia un cadru în limba chineză pentru crearea și gestionarea shell-urilor inverse pe sisteme compromise.
Potrivit Group-IB, telemetria disponibilă sugerează că actorii GambleForce nu caută date specifice atunci când atacă și extrag date din bazele de date de aplicații web compromise. În schimb, actorul amenințării a încercat să exfiltreze orice date pe care le-ar putea pune mâna, inclusiv text simplu și acreditările de utilizator cu hashing. Cu toate acestea, nu este clar cum ar putea folosi exact actorul amenințării datele exfiltrate, a spus furnizorul de securitate.
Cercetătorii Grupului IB au dezafectat serverul C2 al actorului amenințării la scurt timp după ce l-au descoperit. „Cu toate acestea, credem că GambleForce este cel mai probabil să-și regrupeze și să-și reconstruiască infrastructura în curând și să lanseze noi atacuri”, a spus Rostovcev.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cloud-security/gambleforce-threat-actor-sql-injection-attacks
- :are
- :este
- :nu
- :Unde
- 2022
- 7
- a
- Despre Noi
- accesibil
- reprezentat
- peste
- acțiuni
- actori
- Avantaj
- După
- împotriva
- TOATE
- permite
- singur
- de-a lungul
- de asemenea
- an
- analist
- analiști
- analizate
- și
- O alta
- Orice
- apare
- aplicație
- SUNT
- At
- ataca
- atacare
- Atacuri
- încercarea
- Australia
- disponibil
- fundal
- de bază
- BE
- deoarece
- fost
- înainte
- în spatele
- Crede
- dar
- by
- Campanie
- CAN
- transporta
- cazuri
- chinez
- Cobalt
- cod
- Codificare
- Comun
- Companii
- compromis
- putea
- ţară
- Crearea
- scrisori de acreditare
- critic
- personalizat
- de date
- Baza de date
- baze de date
- directoare
- a descoperit
- descoperirea
- jos
- duzină
- permite
- Mediu inconjurator
- dovadă
- exact
- Executa
- executând
- execuție
- exploatând
- exploit
- departe
- Domenii
- Fișier
- Fişiere
- Găsi
- descoperire
- First
- Pentru
- Cadru
- din
- Jocuri de noroc
- Guvern
- grup
- mâini
- hash
- Avea
- Ascuns
- Acasă
- găzduit
- Cum
- Totuși
- HTTPS
- in
- În altele
- inclus
- Inclusiv
- India
- Indonezia
- Infrastructură
- intrare
- in schimb
- în
- IT
- ESTE
- Loc de munca
- jpg
- Coreea
- lansa
- pune
- Conduce
- cel mai puțin
- ca
- Probabil
- Listă
- liste
- încărcare
- Lung
- cautati
- FACE
- de conducere
- ar putea
- modifica
- luni
- mai mult
- cele mai multe
- Numit
- Natură
- Nou
- remarcabil
- nimic
- of
- de multe ori
- on
- ONE
- deschide
- open-source
- Operațiuni
- or
- organizații
- origine
- Altele
- afară
- parametrii
- Parolele
- pătrundere
- efectuarea
- Filipine
- Plato
- Informații despre date Platon
- PlatoData
- Popular
- potenţial
- practicile
- procese
- public
- recent
- regiune
- încredere
- rămâne
- la distanta
- raportează
- cercetători
- cu amănuntul
- inversa
- s
- Said
- sectoare
- securitate
- selectate
- senior
- Septembrie
- serverul
- setări
- câteva
- simplu
- întrucât
- singur
- So
- până acum
- Software
- unele
- curând
- Sursă
- Sud
- Coreea de Sud
- specific
- specific
- Declarații
- oprit
- stocate
- grevă
- Şir
- Reușit
- sugerează
- sistem
- sisteme
- luare
- vizate
- direcționare
- Testarea
- decât
- acea
- lor
- Acestea
- ei
- acest
- în această săptămână
- amenințare
- trei
- la
- a luat
- instrument
- Unelte
- călătorie
- Două
- neautorizat
- utilizat
- Utilizator
- folosind
- utilitati
- validare
- vânzător
- versiune
- Vulnerabilitățile
- vulnerabil
- a fost
- we
- Armament
- web
- aplicatie web
- site-uri web
- săptămână
- au fost
- indiferent de
- cand
- care
- cu
- zephyrnet
