Un grupo de hackers previamente desconocido llamado Fuerza de apuesta se ha atribuido a una serie de ataques de inyección SQL contra empresas principalmente en la región de Asia-Pacífico (APAC) desde al menos septiembre de 2023.
“GambleForce utiliza un conjunto de técnicas básicas pero muy efectivas, que incluyen inyecciones SQL y la explotación de sistemas de gestión de contenido (CMS) de sitios web vulnerables para robar información confidencial, como credenciales de usuario”, Group-IB, con sede en Singapur. dicho en un informe compartido con The Hacker News.
Se estima que el grupo se dirigió a 24 organizaciones de los sectores de juegos de azar, gobierno, comercio minorista y viajes en Australia, Brasil, China, India, Indonesia, Filipinas, Corea del Sur y Tailandia. Seis de estos ataques tuvieron éxito.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
El modus operandi de GambleForce es su dependencia exclusiva de herramientas de código abierto como dirsearch, sqlmap, tinyproxy y redis-rogue-getshell en diferentes etapas de los ataques con el objetivo final de filtrar información confidencial de las redes comprometidas.
El actor de amenazas también utiliza el marco legítimo posterior a la explotación conocido como Cobalt Strike. Curiosamente, la versión de la herramienta descubierta en su infraestructura de ataque utilizaba comandos en chino, aunque los orígenes del grupo están lejos de estar claros.
Las cadenas de ataques implican el abuso de las aplicaciones públicas de las víctimas mediante la explotación de inyecciones de SQL, así como la explotación de CVE-2023-23752una falla de gravedad media en Joomla CMS, para obtener acceso no autorizado a una empresa brasileña.
Actualmente no se sabe cómo GambleForce aprovecha la información robada. La firma de ciberseguridad dijo que también desmanteló el servidor de comando y control (C2) del adversario y notificó a las víctimas identificadas.
“Las inyecciones web se encuentran entre los vectores de ataque más antiguos y populares”, dijo Nikita Rostovcev, analista senior de amenazas de Group-IB.
“Y la razón es que a veces los desarrolladores pasan por alto la importancia de la seguridad de entrada y la validación de datos. Las prácticas de codificación inseguras, la configuración incorrecta de las bases de datos y el software obsoleto crean un entorno fértil para ataques de inyección SQL en aplicaciones web”.