Novo Grupo de Hackers 'GambleForce' Atacando Empresas da APAC Usando Ataques de Injeção SQL
14 de Dezembro de 2023

Um grupo hacker até então desconhecido chamado GambleForce foi responsabilizado por uma série de ataques de injeção SQL contra empresas principalmente na região Ásia-Pacífico (APAC) desde pelo menos setembro de 2023.

"GambleForce usa um conjunto de técnicas básicas, mas muito eficazes, incluindo injeções SQL e a exploração de sistemas de gerenciamento de conteúdo de sites vulneráveis (CMS) para roubar informações sensíveis, como credenciais de usuário", disse a Group-IB, com sede em Singapura, em um relatório compartilhado com o The Hacker News.

Estima-se que o grupo tenha visado 24 organizações nos setores de jogos, governo, varejo e viagens na Austrália, Brasil, China, Índia, Indonésia, Filipinas, Coréia do Sul e Tailândia.

Seis desses ataques foram bem-sucedidos.

O modus operandi da GambleForce é sua dependência exclusiva de ferramentas de código aberto como dirsearch, sqlmap, tinyproxy e redis-rogue-getshell em diferentes estágios dos ataques com o objetivo final de exfiltrar informações sensíveis de redes comprometidas.

Também usado pelo ator da ameaça é o framework legítimo de pós-exploração conhecido como Cobalt Strike.

Curiosamente, a versão da ferramenta encontrada em sua infraestrutura de ataque usava comandos em chinês, embora as origens do grupo não estejam claras.

As cadeias de ataque envolvem o abuso de aplicações públicas de vítimas explorando injeções SQL, bem como a exploração do CVE-2023-23752 , uma falha de média gravidade no Joomla CMS, para obter acesso não autorizado a uma empresa brasileira.

Atualmente, não se sabe como a GambleForce utiliza as informações roubadas.

A empresa de segurança cibernética disse que também derrubou o servidor de comando e controle (C2) do adversário e notificou as vítimas identificadas.

"As injeções web estão entre os vetores de ataque mais antigos e populares", disse Nikita Rostovcev, analista sênior de ameaças na Group-IB.

"E a razão é que, às vezes, os desenvolvedores subestimam a importância da segurança de entrada e da validação de dados.

Práticas de codificação inseguras, configurações de banco de dados incorretas e software desatualizado criam um ambiente propício para ataques de injeção SQL em aplicações web."

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...