Daha önce bilinmeyen bir hacker grubu aradı GambleForce En az Eylül 2023’ten bu yana öncelikle Asya-Pasifik (APAC) bölgesindeki şirketlere yönelik bir dizi SQL enjeksiyon saldırısına atfedildi.
Singapur merkezli Group-IB, “GambleForce, kullanıcı kimlik bilgileri gibi hassas bilgileri çalmak için SQL enjeksiyonları ve savunmasız web sitesi içerik yönetim sistemlerinden (CMS) yararlanma dahil olmak üzere bir dizi temel ancak çok etkili teknik kullanıyor.” dedi. Hacker Haberleri.
Grubun Avustralya, Brezilya, Çin, Hindistan, Endonezya, Filipinler, Güney Kore ve Tayland’da kumar, hükümet, perakende ve seyahat sektörlerinde faaliyet gösteren 24 kuruluşu hedef aldığı tahmin ediliyor. Bu saldırılardan altısı başarılı oldu.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
GambleForce’un işleyiş şekli, saldırıların farklı aşamalarında dirsearch, sqlmap, TinyProxy ve Redis-Rogue-Getshell gibi açık kaynaklı araçlara özel olarak güvenmesi ve nihai hedefi, güvenliği ihlal edilmiş ağlardan hassas bilgilerin sızmasıdır.
Tehdit aktörü tarafından ayrıca Kobalt Saldırısı olarak bilinen meşru sömürü sonrası çerçeve de kullanılıyor. İlginç bir şekilde, grubun kökenleri net olmasa da, saldırı altyapısında keşfedilen aracın sürümü Çince komutlar kullanıyordu.
Saldırı zincirleri, Brezilyalı bir şirkete yetkisiz erişim sağlamak için SQL enjeksiyonlarından yararlanılarak mağdurların halka açık uygulamalarının kötüye kullanılmasının yanı sıra Joomla CMS’deki orta önemdeki bir kusur olan CVE-2023-23752’nin istismar edilmesini içeriyor.
Şu anda GambleForce’un çalınan bilgilerden nasıl yararlandığı bilinmiyor. Siber güvenlik firması, aynı zamanda düşmanın komuta ve kontrol (C2) sunucusunu da çökerttiğini ve tespit edilen mağdurları bilgilendirdiğini söyledi.
Group-IB’nin kıdemli tehdit analisti Nikita Rostovcev, “Web enjeksiyonları en eski ve en popüler saldırı vektörleri arasında yer alıyor” dedi.
“Bunun nedeni bazen geliştiricilerin giriş güvenliği ve veri doğrulamanın önemini gözden kaçırmasıdır. Güvenli olmayan kodlama uygulamaları, yanlış veritabanı ayarları ve güncel olmayan yazılımlar, web uygulamalarına yönelik SQL enjeksiyon saldırıları için verimli bir ortam yaratır.”