Một nhóm mối đe dọa mới có tên “GambleForce” đã được xác định sử dụng các cuộc tấn công tiêm SQL để truy cập trái phép vào các tổ chức ở khu vực Châu Á – Thái Bình Dương (APAC). Nhóm này đã nhắm vào hơn 20 trang web trong các lĩnh vực khác nhau, bao gồm chính phủ, cờ bạc, bán lẻ và du lịch, ở các quốc gia như Úc, Trung Quốc, Indonesia, Philippines, Ấn Độ, Hàn Quốc, Thái Lan và Brazil. Trong số đó, sáu tổ chức đã bị xâm nhập thành công bằng cách sử dụng các cuộc tấn công tiêm SQL cũ.
GambleForce sử dụng các công cụ nguồn mở có sẵn công khai thường được sử dụng bởi các chuyên gia kiểm tra xâm nhập, mà không cần chỉnh sửa độc đáo trong cấu hình công cụ. Các công cụ được sử dụng bao gồm dirsearch, sqlmap, tinyproxy, redis-rogue-getshell và Cobalt Strike. Một khía cạnh thú vị trong hoạt động của họ là việc sử dụng các lệnh “export” dựa trên ngôn ngữ trong một phần đáng kể các lệnh của họ, cho thấy các thiết bị bị xâm phạm thuộc về một địa điểm cụ thể.
Nhóm này cũng sử dụng lệnh “wget” để tải tệp từ nguồn từ xa, được lưu trữ với supershell, một khung làm việc bằng tiếng Trung để tạo và quản lý shell ngược. Trong các hoạt động chỉ huy và kiểm soát (C2) của mình, GambleForce đã thực hiện một số thay đổi để khởi chạy hồ sơ của họ với các tên miền C2 như Dns-supports.online và Windows.updates.wiki. Các máy chủ C2 sử dụng các lệnh bằng tiếng Trung, gợi ý về nguồn gốc có thể của nhóm. Họ cũng sử dụng chứng chỉ SSL tự ký giả mạo “Microsec e-Szigno Root CA” và “Cloudflare”.
Báo cáo toàn diện của Group-IB cung cấp thông tin chi tiết về GambleForce, bao gồm các phương pháp tấn công của họ, lệnh sử dụng, Khung MITRE và các dữ liệu liên quan khác.
Source: Cyber Security News
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.