Новая группа угроз под названием “GambleForce” была обнаружена, используя атаки инъекции SQL для получения несанкционированного доступа к организациям в регионе Азиатско-Тихоокеанского бассейна (APAC). Эта группа атаковала более 20 веб-сайтов в различных секторах, включая правительство, игорный бизнес, розничную торговлю и туризм, в странах, таких как Австралия, Китай, Индонезия, Филиппины, Индия, Южная Корея, Таиланд и Бразилия. Из них шесть организаций были успешно проникнуты с помощью устаревших атак инъекции SQL.
GambleForce использует общедоступные инструменты с открытым исходным кодом, обычно используемые тестерами на проникновение, без каких-либо уникальных изменений в конфигурациях инструментов. Использованные инструменты включают dirsearch, sqlmap, tinyproxy, redis-rogue-getshell и Cobalt Strike. Интересным аспектом их операции является использование команд «export», основанных на языке, в значительной части их команд, что предполагает, что скомпрометированные устройства принадлежат к конкретной локации.
Группа также использует команду “wget” для загрузки файлов с удаленного источника, размещенного на supershell, китайскоязычной платформе для создания и управления обратными шеллами. В своих операциях командного и контрольного центра (C2) GambleForce внесла несколько изменений, чтобы запустить свой профиль с доменами C2, такими как Dns-supports.online и Windows.updates.wiki. Серверы C2 использовали китайские команды, намекая на возможное происхождение группы. Они также использовали самоподписанные SSL-сертификаты, имитирующие «Microsec e-Szigno Root CA» и «Cloudflare».
Подробный отчет Group-IB предоставляет детальную информацию о GambleForce, включая их методы атаки, используемые команды, Рамки MITRE и другие соответствующие данные.
Source: Cyber Security News
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.