Um grupo hacker até então desconhecido chamado GambleForce foi responsabilizado por uma série de ataques de injeção SQL contra empresas principalmente na região Ásia-Pacífico (APAC) desde pelo menos setembro de 2023.
"GambleForce usa um conjunto de técnicas básicas, mas muito eficazes, incluindo injeções SQL e a exploração de sistemas de gerenciamento de conteúdo de sites vulneráveis (CMS) para roubar informações sensíveis, como credenciais de usuário", disse a Group-IB, com sede em Singapura, em um relatório compartilhado com o The Hacker News.
Estima-se que o grupo tenha visado 24 organizações nos setores de jogos, governo, varejo e viagens na Austrália, Brasil, China, Índia, Indonésia, Filipinas, Coréia do Sul e Tailândia.
Seis desses ataques foram bem-sucedidos.
O modus operandi da GambleForce é sua dependência exclusiva de ferramentas de código aberto como dirsearch, sqlmap, tinyproxy e redis-rogue-getshell em diferentes estágios dos ataques com o objetivo final de exfiltrar informações sensíveis de redes comprometidas.
Também usado pelo ator da ameaça é o framework legítimo de pós-exploração conhecido como Cobalt Strike.
Curiosamente, a versão da ferramenta encontrada em sua infraestrutura de ataque usava comandos em chinês, embora as origens do grupo não estejam claras.
As cadeias de ataque envolvem o abuso de aplicações públicas de vítimas explorando injeções SQL, bem como a exploração do
CVE-2023-23752
, uma falha de média gravidade no Joomla CMS, para obter acesso não autorizado a uma empresa brasileira.
Atualmente, não se sabe como a GambleForce utiliza as informações roubadas.
A empresa de segurança cibernética disse que também derrubou o servidor de comando e controle (C2) do adversário e notificou as vítimas identificadas.
"As injeções web estão entre os vetores de ataque mais antigos e populares", disse Nikita Rostovcev, analista sênior de ameaças na Group-IB.
"E a razão é que, às vezes, os desenvolvedores subestimam a importância da segurança de entrada e da validação de dados.
Práticas de codificação inseguras, configurações de banco de dados incorretas e software desatualizado criam um ambiente propício para ataques de injeção SQL em aplicações web."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...