至少自 2023 年 9 月以来,一个名为 GambleForce 的以前不为人知的黑客组织被归咎于针对主要亚太地区 (APAC) 公司的一系列 SQL 注入攻击。 “GambleForce使用一套基本但非常有效的技术,包括SQL注入和利用易受攻击的网站内容管理系统(CMS)来窃取敏感信息,例如用户凭据,”总部位于新加坡的Group-IB在与The Hacker News分享的一份报告中表示。 据估计,该组织的目标是澳大利亚、巴西、中国、印度、印度尼西亚、菲律宾、韩国和泰国的赌博、政府、零售和旅游行业的 24 家组织。其中六次攻击成功。GambleForce 的作案手法是在攻击的不同阶段完全依赖 dirsearch、sqlmap、tinyproxy 和 redis-rogue-getshell 等开源工具,最终目标是从受感染的网络中窃取敏感信息。 威胁参与者还使用称为 Cobalt Strike 的合法开发后框架。有趣的是,在其攻击基础设施上发现的该工具版本使用了中文命令,尽管该组织的起源还远不清楚。 GambleForce(赌博力量酒店) 攻击链需要通过利用 SQL 注入以及利用 CVE-2023-23752(Joomla CMS 中的中等严重性缺陷)来滥用受害者面向公众的应用程序,以获得对巴西公司的未经授权的访问。 SQL注入伴随着sqlmap,这是一种流行的开源渗透测试工具,旨在自动识别易受SQL注入攻击的数据库服务器,并将其武器化以接管系统。 网络安全 在此类攻击中,威胁参与者将恶意 SQL 代码注入目标网站面向公众的网页中,使他们能够绕过默认身份验证保护并访问敏感数据,例如哈希和纯文本用户凭据。 目前尚不清楚GambleForce如何利用被盗信息。这家网络安全公司表示,它还关闭了对手的命令和控制(C2)服务器,并通知了已确定的受害者。 “网络注入是最古老和最受欢迎的攻击媒介之一,”Group-IB高级威胁分析师Nikita Rostovcev说。 “原因是有时开发人员忽视了输入安全和数据验证的重要性。不安全的编码实践、不正确的数据库设置和过时的软件为对 Web 应用程序的 SQL 注入攻击创造了肥沃的环境。
评论 (0)