Araştırmacılar, Asya-Pasifik bölgesindeki kuruluşları hedef alan, halka açık açık kaynaklı sızma testi araçlarından başka bir şey kullanmayan SQL enjeksiyon saldırıları gerçekleştiren yeni bir tehdit aktörünü tespit etti.
Group-IB’deki tehdit avcıları, bölgedeki kumar şirketlerini hedef alan yeni grubu ilk kez Eylül ayında fark etti ve gruba “GambleForce” adını verdi. O günden bu yana geçen üç ay içinde grup, hükümet, perakende, seyahat ve iş bulma siteleri de dahil olmak üzere diğer birçok sektördeki kuruluşları hedef aldı.
GambleForce Kampanyası
Bu hafta yayınlanan bir raporda Group-IB, şu ana kadar Avustralya, Endonezya, Filipinler, Hindistan ve Güney Kore’de en az iki düzine kuruluşa GambleForce saldırıları gözlemlediğini söyledi. Group-IB kıdemli tehdit analisti, “Bazı durumlarda saldırganlar keşif yaptıktan sonra durdular.” Nikita Rostovcev yazdı. “Diğer durumlarda, erişilebilir veritabanlarındaki tablo listelerinin yanı sıra oturum açma bilgilerini ve karma parolaları içeren kullanıcı veritabanlarını başarıyla çıkardılar.”
SQL enjeksiyon saldırıları, bir tehdit aktörünün, izin veren güvenlik açıklarından yararlanarak bir Web uygulaması veritabanında verileri almak, değiştirmek veya silmek gibi yetkisiz eylemler gerçekleştirdiği istismarlardır. eklenecek kötü niyetli ifadeler veritabanının işlediği giriş alanlarına ve parametrelere. SQL enjeksiyon güvenlik açıkları en yaygın Web uygulaması güvenlik açıklarından biri olmaya devam ediyor ve bu güvenlik açıklarından sorumlu Keşfedilen tüm Web uygulaması kusurlarının %33’ü 2022’de.
Group-IB, “SQL saldırıları doğası gereği basit olduğu için devam ediyor” dedi. Rostovcev, “Şirketler genellikle giriş güvenliğinin ve veri doğrulamanın ne kadar kritik olduğunu gözden kaçırıyor, bu da savunmasız kodlama uygulamalarına, güncelliğini yitirmiş yazılımlara ve uygun olmayan veritabanı ayarlarına yol açıyor.” dedi.
Bu arka planda GambleForce’un kampanyasını dikkate değer kılan şey, tehdit aktörünün bu saldırıları gerçekleştirmek için kamuya açık penetrasyon testi yazılımlarına güvenmesidir. Group-IB analistleri yakın zamanda tehdit aktörünün komuta ve kontrol (C2) sunucusunda barındırılan araçları analiz ettiğinde tek bir özel araç bulamadılar. Bunun yerine, sunucudaki tüm saldırı silahları, tehdit aktörünün SQL enjeksiyon saldırılarını gerçekleştirmek için özel olarak seçtiği, halka açık yazılım yardımcı programlarıydı.
Herkese Açık Kalem Testi Araçları
Group-IB’nin C2 sunucusunda keşfettiği araçların listesi, bir sistemdeki gizli dosyaları ve dizinleri keşfetmeye yönelik bir araç olan dirsearch’ü; redis-rogue-getshell, Redis kurulumlarında uzaktan kod yürütülmesini sağlayan bir araç; ve bir ortamdaki SQL güvenlik açıklarını bulmak ve kullanmak için sqlmap. Group-IB ayrıca uzlaşma sonrası operasyonlar için popüler açık kaynaklı pen-test aracı Cobalt Strike’ı kullanan GambleForce’u da keşfetti.
C2 sunucusunda keşfedilen Cobalt Strike versiyonunda Çince komutlar kullanılıyordu. Ancak güvenlik sağlayıcısı, bunun tek başına tehdit grubunun menşe ülkesinin kanıtı olmadığını söyledi. Tehdit grubunun potansiyel ana üssüne ilişkin bir başka ipucu da C2 sunucusunun, tehlikeye atılmış sistemlerde ters kabuklar oluşturmak ve yönetmek için Çince bir çerçeveyi barındıran bir kaynaktan dosya yüklemesiydi.
Group-IB’ye göre mevcut telemetri, GambleForce aktörlerinin tehlikeye atılan Web uygulaması veritabanlarına saldırırken ve bu veri tabanlarından veri çekerken herhangi bir spesifik veri aramadığını gösteriyor. Bunun yerine tehdit aktörü, düz metin ve karma kullanıcı kimlik bilgileri de dahil olmak üzere eline geçen her türlü veriyi sızdırmaya çalışıyor. Ancak güvenlik sağlayıcısı, tehdit aktörünün sızdırılan verileri tam olarak nasıl kullanabileceğinin belirsiz olduğunu söyledi.
Group-IB araştırmacıları, tehdit aktörünün C2 sunucusunu keşfettikten hemen sonra devre dışı bıraktı. Rostovcev, “Yine de GambleForce’un çok geçmeden altyapısını yeniden toplayıp yeniden inşa edeceğine ve yeni saldırılar başlatacağına inanıyoruz.” dedi.