Un nou actor de amenaces anomenat “GambleForce” ha estat identificat utilitzant atacs d’injecció SQL per obtenir accés no autoritzat a organitzacions a la regió d’Àsia-Pacífic (APAC). Aquest grup ha atacat més de 20 llocs web en diversos sectors, incloent govern, jocs d’atzar, venda al detall i viatges, en països com Austràlia, Xina, Indonèsia, Filipines, Índia, Corea del Sud, Tailàndia i Brasil. D’aquests, sis organitzacions han estat infiltrades amb èxit utilitzant atacs d’injecció SQL antics.
GambleForce utilitza eines de codi obert disponibles públicament que solen ser utilitzades pels testers de penetració, sense modificacions úniques en les configuracions de les eines. Les eines utilitzades inclouen dirsearch, sqlmap, tinyproxy, redis-rogue-getshell i Cobalt Strike. Un aspecte interessant de la seva operació és l’ús de comandaments “export” basats en llengües en una part significativa dels seus comandaments, suggerint que els dispositius compromesos pertanyen a una localitat específica.
El grup també utilitza un comandament “wget” per carregar arxius des d’una font remota, allotjats amb supershell, un marc de treball en xinès per crear i gestionar shells inverses. En les seves operacions de comandament i control (C2), GambleForce va realitzar diverses modificacions per llançar el seu perfil amb dominis C2 com Dns-supports.online i Windows.updates.wiki. Els servidors C2 utilitzaven comandaments en xinès, insinuant l’origen possible del grup. També van utilitzar certificats SSL autofirmats que imitaven a “Microsec e-Szigno Root CA” i “Cloudflare”.
Un informe complet de Group-IB proporciona informació detallada sobre GambleForce, incloent els seus mètodes d’atac, comandaments utilitzats, el Marc MITRE i altres dades rellevants.
Source: Cyber Security News
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.