Yeni Hacker Grubu Şirketleri Hacklemek için SQL Enjeksiyonunu Kullanıyor

   Aralık 15, 2023  Posted in CyberSecurityNews


Yeni Hacker Grubu, APAC Bölgesindeki Şirketleri Hacklemek için SQL Enjeksiyonunu Kullanıyor

Yeni bir tehdit aktörünün, APAC bölgesindeki kuruluşlara yetkisiz erişim sağlamak için SQL enjeksiyon saldırılarını kullandığı keşfedildi.

Bu tehdit aktörü “GambleForce” olarak adlandırıldı ve genellikle penetrasyon test uzmanları tarafından kullanılan, halka açık açık kaynaklı araçları kullanıyor.

Tehdit aktörü, Avustralya, Çin, Endonezya, Filipinler, Hindistan, Güney Kore, Tayland ve Brezilya’daki hükümet, kumar, perakende ve seyahat siteleri dahil olmak üzere 20’den fazla web sitesini hedef aldı. Tehdit aktörü, 20 kuruluş arasında eski SQL enjeksiyon saldırısıyla altı kuruluşa başarıyla sızdı.

Hacker Grubu SQL Enjeksiyonunu Kullanıyor

Araç yapılandırmalarında, tehdit aktörleri kullandıkları tüm araçların neredeyse tüm varsayılan ayarlarını kullandıklarından benzersiz bir değişiklik bulunamadı.

Tehdit aktörünün kullandığı araçlardan bazıları arasında dirsearch, sqlmap, TinyProxy, Redis-Rogue-Getshell ve Cobalt Strike yer alıyor.

İlginç bir faktör olarak tehdit aktörünün, her sunucuda yürüttüğü 750 komutun 95’inde dil tabanlı “dışa aktarma” komutlarını kullanması oldu. Bu, tehlikeye attıkları cihazların bir yerel ayara ait olduğu anlamına gelir ve bu komut, girilen komutların hatasız yürütülmesini sağlamak içindir.

Kaynak: Grup-IB
Kaynak: Grup-IB

Tehdit aktörünün kullandığı diğer adımlar arasında “wget” komutunu kullanarak uzak bir kaynaktan dosya yüklemek yer alıyordu. Uzak sunucu, özellikle ters kabukları oluşturmak ve yönetmek için kullanılan bir kullanıcı arayüzüne sahip Çince bir çerçeve olan supershell ile barındırılıyordu.

GambleForce Ağ Analizi (Kaynak: Group-IB)
GambleForce Ağ Analizi (Kaynak: Group-IB)

Komuta ve Kontrol (C2)

Cobalt Strike kullanımına ilişkin olarak tehdit aktörleri, profillerini Dns-destekleri gibi C2 alan adlarıyla başlatmak için çeşitli değişiklikler yaptı.[.]çevrimiçi ve Windows.updates[.]wiki. Ancak C2 sunucuları, kökenleri hakkında bir gerçeğe işaret edebilecek Çince komutlar kullanıyordu.

Operatör paneline giriş yapmak için çeşitli IP adresleri de bulundu. Buna ek olarak tehdit aktörü, Cobalt Strike’ı kullanmak için kendinden imzalı SSL sertifikaları da kullandı. Bu sertifikalar “Microsec e-Szigno Root CA” ve “Cloudflare”i taklit ediyordu.

Bu tehdit aktörü hakkında, GambleForce tehdit aktörü, saldırı yöntemleri, kullanılan komutlar, MITRE Çerçevesi ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.

Uzlaşma Göstergeleri

  • DNS-destekleri[.]çevrimiçi
  • Windows.güncellemeleri[.]wiki
  • 212.60.5[.]129
  • 38.54.40[.]156



Source link