18/12/23
Новая хакерская группировка GambleForce использует примитивные и устаревшие методы атак для взлома правительственных учреждений и компаний в Азиатско-Тихоокеанском регионе. Об этом сообщает сингапурская кибербезопасная фирма Group-IB.
GambleForce действует с сентября 2023 года и изначально нацеливалась на игорный бизнес, пишет Securitylab. Однако в последнее время хакеры расширили сферу своих интересов, взламывая государственные сайты, туристические фирмы и онлайн-магазины. На данный момент известно о 20 жертвах, в основном базирующихся в Австралии, Китае, Индонезии, Филиппинах, Индии, Южной Корее, Таиланде и Бразилии.
Для атак GambleForce использует набор публично доступных инструментов для пентестинга: dirsearch, sqlmap, tinyproxy и redis-rogue-getshell. Злоумышленники не вносят в них никаких уникальных модификаций и оставляют практически все настройки по умолчанию. Применяется также легитимный фреймворк, известный как Cobalt Strike.
Основным методом заражения служат SQL-инъекции – один из старейших приемов, при котором злоумышленник внедряет вредоносный SQL-код в запросы к базе данных. Как отмечают эксперты, многие компании до сих пор уязвимы для этой угрозы из-за того, что не устраняют фундаментальные недостатки в системах безопасности.
Инъекции SQL осуществляются с помощью sqlmap, популярного инструмента с открытым исходным кодом, который автоматизирует поиск незащищенных серверов и позволяет использовать их дефекты для взлома систем.
Цели атак GambleForce пока неясны. В некоторых случаях хакеры прекращали атаку после проведения разведки, а в других успешно извлекали данные пользователей, включая логины, хэшированные пароли и списки таблиц из доступных баз данных.
После обнаружения деятельности GambleForce исследователи отключили используемый хакерами сервер управления и контроля. Однако они полагают, что злоумышленники, скорее всего, без труда восстановят инфраструктуру и продолжат свою деятельность.
Хотя команда Group-IB и не связывает GambleForce с какой-либо конкретной страной, в коде, который использует группа, были обнаружены китайские слова. Но, конечно, этого недостаточно, чтобы определить ее происхождение.
