Un nuovo attore di minacce chiamato “GambleForce” è stato identificato per l’uso di attacchi di iniezione SQL per ottenere accesso non autorizzato alle organizzazioni nella regione Asia-Pacifico (APAC). Questo gruppo ha preso di mira oltre 20 siti web in vari settori, tra cui governo, gioco d’azzardo, vendita al dettaglio e viaggi, in paesi come Australia, Cina, Indonesia, Filippine, India, Corea del Sud, Thailandia e Brasile. Di questi, sei organizzazioni sono state infiltrate con successo utilizzando attacchi di iniezione SQL legacy.
GambleForce impiega strumenti open-source disponibili pubblicamente tipicamente usati dai penetration tester, senza alcuna modifica unica alle configurazioni degli strumenti. Gli strumenti utilizzati includono dirsearch, sqlmap, tinyproxy, redis-rogue-getshell e Cobalt Strike. Un aspetto interessante della loro operazione è l’uso di comandi “export” basati sulla lingua in una parte significativa dei loro comandi, suggerendo che i dispositivi compromessi appartengono a una località specifica.
Il gruppo utilizza anche un comando “wget” per caricare file da una fonte remota, ospitati con supershell, un framework in lingua cinese per creare e gestire shell inverse. Nelle loro operazioni di comando e controllo (C2), GambleForce ha apportato diverse modifiche per lanciare il loro profilo con domini C2 come Dns-supports.online e Windows.updates.wiki. I server C2 utilizzavano comandi in cinese, facendo pensare all’origine possibile del gruppo. Hanno anche utilizzato certificati SSL auto-firmati che imitavano “Microsec e-Szigno Root CA” e “Cloudflare”.
Un rapporto completo di Group-IB fornisce informazioni dettagliate su GambleForce, incluse i loro metodi di attacco, comandi utilizzati, il Framework MITRE e altri dati rilevanti.
Source: Cyber Security News
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.