Uygulama Güvenliği , Uygulama Güvenliği ve Çevrimiçi Dolandırıcılık , Dolandırıcılık Yönetimi ve Siber Suçlar
Araştırmacılar, Kumar ve Perakende Firmalarının ‘GambleForce’ Grubunun En Büyük Hedefleri Uyardı
Mathew J. Schwartz (euroinfosec) •
14 Aralık 2023
Daha önce hiç görülmemiş bir bilgisayar korsanı grubu, alışılmadık bir taktik kullanarak işletmelere ve devlet kurumlarına saldırıyor: SQL enjeksiyon kusurlarından yararlanmak.
Ayrıca bakınız: Genişleyen Tehdit Ufku Karşısında Bulut Güvenliği Ustalığının Kilidini Açmak
Bu nedenle, Eylül ayında GambleForce kod adlı bir grup tarafından kullanılan bir komuta ve kontrol sunucusunu tespit eden ve diğer türdeki kuruluşların yanı sıra düzenli olarak kumar firmalarını hedef aldığı için bu sunucuya erişim sağlayan siber güvenlik şirketi Group-IB’yi uyarıyor.
Saldırganların, açık kaynaklı sızma testi aracı slqmap’i kullanarak “kamuya açık bir web sayfasına kötü amaçlı SQL kodu enjekte ederek varsayılan kimlik doğrulamayı atlamalarına ve hassas verilere erişmelerine olanak tanıyan” bir dizi ücretsiz araç kullandığı görülüyor. Grup-IB diyor.
Saldırganların komuta ve kontrol sunucusunda barındırılan araçlar tarafından kaydedilen 24 saldırı girişiminden altı vakada, “erişilebilir veritabanlarından ana tablo listelerinin yanı sıra oturum açma bilgileri, karma şifreler içeren kullanıcı veritabanları elde etmeyi başardılar”. rapor diyor. “Tehdit aktörü, belirli verileri aramak yerine, karma hale getirilmiş ve düz metin kullanıcı kimlik bilgileri gibi hedeflenen veritabanlarındaki olası her türlü bilgiyi sızdırmaya çalışıyor.”
Grubun hedefleri arasında Brezilya’daki kuruluşlar yer alırken, Grup-IB araştırmacıları, saldırganların altı kurbanının Avustralya’daki bir seyahat firması, Endonezya’daki seyahat ve perakende firmaları ve Filipinler’deki bir devlet kurumu dahil olmak üzere Asya-Pasifik bölgesine odaklandığını söyledi. ve Güney Kore’nin kumar kaygısı. Grubun Çin, Hindistan ve Tayland’ın yanı sıra bu ülkelerdeki diğer kuruluşları da hedef aldığı ortaya çıktı.
Araştırmacılar, saldırganların çalınan bilgileri nasıl kullanıyor olabileceğini bilmediklerini söyledi. Tüm kurbanları doğrudan bilgilendirdiler ve çevrimdışı saldırganların komuta ve kontrol sunucusunu devre dışı bıraktılar, ancak bunun basitçe “altyapıyı yeniden inşa edeceklerini” söylediler.
Araştırmacılar, sqlmap’in ötesinde, grup tarafından kullanılan araçların (genellikle varsayılan konfigürasyonlarında) şunları içerdiğini söyledi: kaba kuvvet dizini ve dosya saldırı aracı dirsearch, redis-rogue-getshell
Redis veritabanlarına, HTTP ve HTTPS proxy arka plan programı Tinyproxy’ye ve birçok saldırganın tehlikeye atılmış uç noktaların uzaktan, kalıcı kontrolünü sürdürmek için yeniden kullanacağı meşru sızma testi çerçevesi Cobalt Strike’a kök erişimi sağlamak için Python betiği (bkz.: Bunu Şimdi Engelleyin: Kobalt Saldırısı ve Diğer Kırmızı Takım Araçları).
Group-IB’nin kıdemli tehdit analisti Nikita Rostovcev bir blog yazısında, “Çetenin sunucusunda keşfedilen Cobalt Strike sürümü Çince komutlar kullanıyordu, ancak bu gerçek tek başına grubun kökenini atfetmek için yeterli değil.” dedi.
Kurbanların SQL enjeksiyon saldırıları yoluyla ortaya çıkması, uygulama güvenliğinin çoğu zaman yeniden deja vu olarak kaldığını hatırlatıyor. Yirmi yıl önce enjeksiyon saldırıları, Dünya Çapında Açık Uygulama Güvenliği Projesi’nin ilk 10 web uygulaması güvenliği endişesi listesinde altıncı sırada yer alıyordu. 2021’e gelindiğinde enjeksiyon saldırıları, bozuk erişim kontrolleri ve şifreleme hatalarının ardından üçüncü sırada yer alıyor.
OWASP, uygulamaların “kullanıcı tarafından sağlanan verilerin uygulama tarafından doğrulanmaması, filtrelenmemesi veya sterilize edilmemesi” de dahil olmak üzere çeşitli nedenlerden dolayı enjeksiyon – diğer bir deyişle ekleme – saldırılarına karşı savunmasız olabileceğini söyledi.
SQL Enjeksiyonu ile güçlendirilmiştir
Başarılı SQL enjeksiyon istismarları, saldırganların önceden tanımlanmış SQL komutlarını yürütmesine olanak vererek, bir veritabanında depolanan tüm verilere erişmelerine, bunları değiştirmelerine veya silmelerine, veritabanı yöneticisi düzeyinde ayrıcalıklar elde etmelerine ve daha fazlasına olanak tanır. Uzmanlar, bu tür saldırıların hala popülerliğini koruduğunu çünkü sıklıkla işe yaradığını ve tespit edilmesinin zor olduğunu söylüyor.
OWASP, “SQL enjeksiyon saldırılarının ciddiyeti, saldırganın becerisi ve hayal gücüyle ve daha az ölçüde, veritabanı sunucusuna düşük ayrıcalıklı bağlantılar vb. gibi derinlemesine savunma önlemleriyle sınırlıdır.” dedi. “Genel olarak, SQL enjeksiyonunun yüksek etkili bir önem derecesi olduğunu düşünün.”
Çok sayıda fidye yazılımı raketi de dahil olmak üzere çok sayıda ulus devlet saldırganı ve siber suç grubu, istismar etmek için SQL enjeksiyon kusurlarını aramaya devam ediyor. Group-IB’den Rostovcev, “SQL saldırıları doğası gereği basit olduğu için devam ediyor” dedi. “Şirketler genellikle giriş güvenliğinin ve veri doğrulamanın ne kadar kritik olduğunu gözden kaçırıyor ve bu da savunmasız kodlama uygulamalarına, güncelliğini yitirmiş yazılımlara ve uygun olmayan veritabanı ayarlarına yol açıyor. Bu ihmal, halka açık web uygulamalarına yönelik SQL enjeksiyon saldırıları için mükemmel ortamı yaratıyor.”
Bu tür kusurlar, özellikle popüler yazılımlarda ortaya çıkarıldığında saldırganlara muazzam bir güç verebilir.
Temmuz 2021 gibi uzun bir süre önce, Clop fidye yazılımı grubu, Progress Software’in yaygın olarak kullanılan MOVEit güvenli dosya aktarım yazılımındaki bir SQL enjeksiyon kusuruna yönelik sıfır gün açığını keşfetti veya ele geçirdi. Mayıs ayı sonlarında Clop, şu anda CVE-2023-34362 olarak izlenen güvenlik açığını kullanarak MOVEit dosya sunucularına toplu bir saldırı gerçekleştirdi ve bu tür sunuculardan mümkün olduğu kadar çok veri çalarak fidye için tuttu.
Progress Software kusuru hızlı bir şekilde düzeltirken, Clop’un çok sayıda MOVEit sunucusunu hızlı ve eş zamanlı olarak kullanması, grubun yazılımı kullanan kuruluşlardan büyük miktarda veri çalmasını sağladı. Perşembe günü güvenlik şirketi Emsisoft, 84 milyon kişiye ait bilgilerin açığa çıktığı saldırılardan en az 2.667 kuruluşun etkilendiğini bildirdi. Clop’un Mayıs ayındaki hackleme çılgınlığının yeni kurbanları hâlâ gün yüzüne çıkıyor.