Hackernews 编译,转载请注明出处:
一个前所未知的黑客组织,被称为 GambleForce,瞄准了亚太地区的公司,其中针对中国的攻击目标有 4 个。
从2023年9月开始,一个名为 GambleForce 的黑客组织针对亚太地区的公司发起了一系列 SQL 注入攻击。
总部位于新加坡的 Group-IB 在报告中表示:“GambleForce 使用了一套很基础但非常有效的技术,包括 SQL 注入和利用易受攻击的网站内容管理系统(CMS)来窃取敏感信息,比如用户凭证。”
据估计,该组织的目标是澳大利亚、巴西、中国、印度、印度尼西亚、菲律宾、韩国和泰国的赌博、政府、零售和旅游行业的24家组织。其中6次攻击成功。
GambleForce 的攻击地图,对中国有4个目标
GambleForce 的操作方式完全依赖开源工具,如 dirsearch、sqlmap、tinyproxy 和 redis-rogue-getshell,最终目标是从攻击的网络中窃取敏感信息。
黑客还使用了 Cobalt Strike,在其攻击基础设施中发现的工具版本还使用了中文命令,但该组织的起源还不清楚。
Group-IB 分析该组织使用的工具
攻击链包括通过利用 SQL注入 以及利用 CVE-2023-23752 (Joomla CMS的一个中等严重漏洞)来滥用受害者面向公众的应用程序,以未授权访问一个巴西的公司。
目前尚不清楚 GambleForce 如何利用被盗信息。网络安全公司 Group-IB 表示,他们还关闭了对手的 C2 服务器,并通知了已识别的受害者。该公司高级威胁分析师 Nikita Rostovcev 表示:“网络注入是最古老、最流行的攻击方式之一。”原因是有时候开发者忽视了输入安全性和数据验证的重要性。不安全的编码实践、不正确的数据库设置和过时的软件,都为 web 应用程序的 SQL 注入攻击创造了丰富的环境。”
Hackernews 编译,转载请注明出处
消息来源:TheHackerNews,译者:Serene