Un groupe de hackers jusqu’alors inconnu appelé GambleForce a été attribué à une série d’attaques par injection SQL contre des entreprises principalement situées dans la région Asie-Pacifique (APAC) depuis au moins septembre 2023.
“GambleForce utilise un ensemble de techniques basiques mais très efficaces, notamment des injections SQL et l’exploitation de systèmes de gestion de contenu de sites Web (CMS) vulnérables pour voler des informations sensibles, telles que les informations d’identification des utilisateurs”, a déclaré Group-IB, dont le siège est à Singapour. dit dans un rapport partagé avec The Hacker News.
On estime que le groupe a ciblé 24 organisations des secteurs du jeu, du gouvernement, de la vente au détail et du voyage en Australie, au Brésil, en Chine, en Inde, en Indonésie, aux Philippines, en Corée du Sud et en Thaïlande. Six de ces attaques ont réussi.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Le mode opératoire de GambleForce repose exclusivement sur des outils open source tels que dirsearch, sqlmap, tinyproxy et redis-rogue-getshell à différentes étapes des attaques dans le but ultime d’exfiltrer les informations sensibles des réseaux compromis.
L’acteur malveillant utilise également le cadre légitime de post-exploitation connu sous le nom de Cobalt Strike. Il est intéressant de noter que la version de l’outil découverte sur son infrastructure d’attaque utilisait des commandes en chinois, même si les origines du groupe sont loin d’être claires.
Les chaînes d’attaque impliquent l’abus des applications publiques des victimes en exploitant les injections SQL ainsi que l’exploitation de CVE-2023-23752une faille de gravité moyenne dans le CMS Joomla, pour obtenir un accès non autorisé à une entreprise brésilienne.
On ne sait actuellement pas comment GambleForce exploite les informations volées. La société de cybersécurité a déclaré avoir également désactivé le serveur de commande et de contrôle (C2) de l’adversaire et informé les victimes identifiées.
“Les injections Web comptent parmi les vecteurs d’attaque les plus anciens et les plus populaires”, a déclaré Nikita Rostovcev, analyste principal des menaces chez Group-IB.
“Et la raison en est que parfois les développeurs négligent l’importance de la sécurité des entrées et de la validation des données. Des pratiques de codage non sécurisées, des paramètres de base de données incorrects et des logiciels obsolètes créent un environnement fertile pour les attaques par injection SQL sur les applications Web.”