Daha önce bilinmeyen bir hacker grubu aradı GambleForce En az Eylül 2023’ten bu yana öncelikle Asya-Pasifik (APAC) bölgesindeki şirketlere yönelik bir dizi SQL enjeksiyon saldırısına atfedildi.
Singapur merkezli Group-IB, “GambleForce, kullanıcı kimlik bilgileri gibi hassas bilgileri çalmak için SQL enjeksiyonları ve savunmasız web sitesi içerik yönetim sistemlerinden (CMS) yararlanma dahil olmak üzere bir dizi temel ancak çok etkili teknik kullanıyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
Grubun Avustralya, Brezilya, Çin, Hindistan, Endonezya, Filipinler, Güney Kore ve Tayland’da kumar, hükümet, perakende ve seyahat sektörlerinde faaliyet gösteren 24 kuruluşu hedef aldığı tahmin ediliyor. Bu saldırılardan altısı başarılı oldu.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
GambleForce’un işleyiş tarzı, saldırıların farklı aşamalarında dirsearch, sqlmap, TinyProxy ve Redis-Rogue-GetShell gibi açık kaynaklı araçlara özel olarak güvenmesi ve nihai hedefi, güvenliği ihlal edilmiş ağlardan hassas bilgilerin sızmasıdır.
Tehdit aktörü tarafından ayrıca Kobalt Saldırısı olarak bilinen meşru sömürü sonrası çerçeve de kullanılıyor. İlginç bir şekilde, grubun kökenleri net olmasa da, saldırı altyapısında keşfedilen aracın sürümü Çince komutlar kullanıyordu.
Saldırı zincirleri, kurbanların kamuya açık kurban uygulamalarının, SQL enjeksiyonlarından yararlanılarak ve aynı zamanda CVE-2023-23752Bir Brezilya şirketine yetkisiz erişim sağlamak amacıyla Joomla CMS’de orta önemde bir kusur olan .
Şu anda GambleForce’un çalınan bilgilerden nasıl yararlandığı bilinmiyor. Siber güvenlik firması, aynı zamanda düşmanın komuta ve kontrol (C2) sunucusunu da çökerttiğini ve tespit edilen mağdurları bilgilendirdiğini söyledi.
Group-IB’nin kıdemli tehdit analisti Nikita Rostovcev, “Web enjeksiyonları en eski ve en popüler saldırı vektörleri arasında yer alıyor” dedi.
“Bunun nedeni bazen geliştiricilerin giriş güvenliği ve veri doğrulamanın önemini gözden kaçırmasıdır. Güvenli olmayan kodlama uygulamaları, yanlış veritabanı ayarları ve güncel olmayan yazılımlar, web uygulamalarına yönelik SQL enjeksiyon saldırıları için verimli bir ortam yaratır.”