16.12.2023 | Тактика GambleForce: простые методы помогают обмануть сложные системы безопасности |
Новая хакерская группировка GambleForce использует примитивные и устаревшие методы атак для взлома правительственных учреждений и компаний в Азиатско-Тихоокеанском регионе. Об этом сообщает сингапурская кибербезопасная фирма Group-IB . GambleForce действует с сентября 2023 года и изначально нацеливалась на игорный бизнес. Однако в последнее время хакеры расширили сферу своих интересов, взламывая государственные сайты, туристические фирмы и онлайн-магазины. На данный момент известно о 20 жертвах, в основном базирующихся в Австралии, Китае, Индонезии, Филиппинах, Индии, Южной Корее, Таиланде и Бразилии. Для атак GambleForce использует набор публично доступных инструментов для пентестинга: dirsearch, sqlmap, tinyproxy и redis-rogue-getshell. Злоумышленники не вносят в них никаких уникальных модификаций и оставляют практически все настройки по умолчанию. Применяется также легитимный фреймворк, известный как Cobalt Strike. Основным методом заражения служат SQL -инъекции – один из старейших приемов, при котором злоумышленник внедряет вредоносный SQL-код в запросы к базе данных. Как отмечают эксперты, многие компании до сих пор уязвимы для этой угрозы из-за того, что не устраняют фундаментальные недостатки в системах безопасности. Инъекции SQL осуществляются с помощью sqlmap, популярного инструмента с открытым исходным кодом, который автоматизирует поиск незащищенных серверов и позволяет использовать их дефекты для взлома систем. Цели атак GambleForce пока неясны. В некоторых случаях хакеры прекращали атаку после проведения разведки, а в других успешно извлекали данные пользователей, включая логины, хэшированные пароли и списки таблиц из доступных баз данных. После обнаружения деятельности GambleForce исследователи отключили используемый хакерами сервер управления и контроля. Однако они полагают, что злоумышленники, скорее всего, без труда восстановят инфраструктуру и продолжат свою деятельность. Хотя команда Group-IB и не связывает GambleForce с какой-либо конкретной страной, в коде, который использует группа, были обнаружены китайские слова. Но, конечно, этого недостаточно, чтобы определить ее происхождение.
|
Проверить безопасность сайта