Un nuevo actor de amenazas llamado “GambleForce” ha sido identificado utilizando ataques de inyección SQL para obtener acceso no autorizado a organizaciones en la región de Asia-Pacífico (APAC). Este grupo ha atacado más de 20 sitios web en varios sectores, incluyendo gobierno, juegos de azar, venta al por menor y viajes, en países como Australia, China, Indonesia, Filipinas, India, Corea del Sur, Tailandia y Brasil. De estos, seis organizaciones han sido infiltradas con éxito utilizando ataques de inyección SQL antiguos.
GambleForce emplea herramientas de código abierto disponibles públicamente que suelen ser utilizadas por evaluadores de penetración, sin modificaciones únicas en las configuraciones de las herramientas. Las herramientas utilizadas incluyen dirsearch, sqlmap, tinyproxy, redis-rogue-getshell y Cobalt Strike. Un aspecto interesante de su operación es el uso de comandos “export” basados en idiomas en una parte significativa de sus comandos, sugiriendo que los dispositivos comprometidos pertenecen a una localidad específica.
El grupo también utiliza un comando “wget” para cargar archivos desde una fuente remota, alojados con supershell, un marco de trabajo en chino para crear y gestionar shells inversas. En sus operaciones de comando y control (C2), GambleForce realizó varias modificaciones para lanzar su perfil con dominios C2 como Dns-supports.online y Windows.updates.wiki. Los servidores C2 usaban comandos en chino, insinuando el posible origen del grupo. También utilizaron certificados SSL autofirmados que imitaban a “Microsec e-Szigno Root CA” y “Cloudflare”.
Un informe completo de Group-IB proporciona información detallada sobre GambleForce, incluyendo sus métodos de ataque, comandos utilizados, el Marco MITRE y otros datos relevantes.
Source: Cyber Security News
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.