至少自 2023 年 9 月以来，一个名为 GambleForce 的以前不为人知的黑客组织被归咎于针对主要亚太地区 （APAC） 公司的一系列 SQL 注入攻击。 “GambleForce使用一套基本但非常有效的技术，包括SQL注入和利用易受攻击的网站内容管理系统（CMS）来窃取敏感信息，例如用户凭据，”总部位于新加坡的Group-IB在与The Hacker News分享的一份报告中表示。 据估计，该组织的目标是澳大利亚、巴西、中国、印度、印度尼西亚、菲律宾、韩国和泰国的赌博、政府、零售和旅游行业的 24 家组织。其中六次攻击成功。GambleForce 的作案手法是在攻击的不同阶段完全依赖 dirsearch、sqlmap、tinyproxy 和 redis-rogue-getshell 等开源工具，最终目标是从受感染的网络中窃取敏感信息。 威胁参与者还使用称为 Cobalt Strike 的合法开发后框架。有趣的是，在其攻击基础设施上发现的该工具版本使用了中文命令，尽管该组织的起源还远不清楚。 GambleForce（赌博力量酒店） 攻击链需要通过利用 SQL 注入以及利用 CVE-2023-23752（Joomla CMS 中的中等严重性缺陷）来滥用受害者面向公众的应用程序，以获得对巴西公司的未经授权的访问。 SQL注入伴随着sqlmap，这是一种流行的开源渗透测试工具，旨在自动识别易受SQL注入攻击的数据库服务器，并将其武器化以接管系统。 网络安全 在此类攻击中，威胁参与者将恶意 SQL 代码注入目标网站面向公众的网页中，使他们能够绕过默认身份验证保护并访问敏感数据，例如哈希和纯文本用户凭据。 目前尚不清楚GambleForce如何利用被盗信息。这家网络安全公司表示，它还关闭了对手的命令和控制（C2）服务器，并通知了已确定的受害者。 “网络注入是最古老和最受欢迎的攻击媒介之一，”Group-IB高级威胁分析师Nikita Rostovcev说。 “原因是有时开发人员忽视了输入安全和数据验证的重要性。不安全的编码实践、不正确的数据库设置和过时的软件为对 Web 应用程序的 SQL 注入攻击创造了肥沃的环境。