GambleForce 黑客组织使用 SQL 注入攻击亚太地区博彩、零售、旅游及政府网站以窃取敏感信息

据威胁追踪和情报公司 Group-IB 的报告（https://www.group-ib.com/blog/gambleforce-gang/），自 9 月以来，一个名为GambleForce 的新黑客组织针对 8 个国家（主要位于亚太地区）的 24 个机构发起攻击。

GambleForce黑客组织一直使用 SQL 注入并利用博彩公司、政府机构、零售企业和旅游部门网站的内容管理系统 (CMS) 中的漏洞，窃取敏感信息，包括用户凭证。

该黑客组织完全依赖开源和其他公开可用的工具来进行初始访问、侦察和数据盗窃，并且据观察在攻击中使用了 Cobalt Strike 渗透测试框架。

在黑客组织的命令与控制 (C&C) 服务器上，Group-IB 识别出诸如 dirsearch（一种 Web 路径暴力破解程序）、redis-rogue-getshell（针对旧版 Redis 版本的漏洞）、Tinyproxy（一种轻量级 HTTP/HTTPS 代理守护进程）和 sqlmap（自动 SQL 注入和数据库接管工具）。

“后者是一种流行的开源测试工具，旨在识别易受 SQL 注入攻击的数据库服务器并利用它们。攻击者将恶意 SQL 代码注入到面向公众的网页中，这使他们能够绕过默认身份验证并访问敏感数据。”Group-IB 解释道。

在观察到的一些攻击中，该黑客组织停留在侦察阶段。目前尚不清楚 GambleForce 如何利用被盗信息获利。Group-IB 表示，它已经从可访问的数据库中窃取了包含登录名和散列密码的用户数据库以及主表列表。

2023 年 9 月至 12 月期间，GambleForce 针对中国、澳大利亚（一家旅游实体）、印度尼西亚（三家旅游和零售公司）、菲律宾（一家政府组织）和韩国（一家赌博平台）的至少20个网站进行攻击，并成功入侵6个组织窃取了数据。

Group-IB 还表示，它观察到该黑客组织在针对巴西实体的攻击中利用了 CVE-2023-23752（Joomla 中的不当访问检查问题），并在另一次攻击中通过提交到网站联系表单的请求窃取数据。

Group-IB 指出：“攻击者不是寻找特定数据，而是试图窃取目标数据库中所有可能的信息。”

该网络安全公司表示 GambleForce 的 C&C 已被撤下，但认为攻击者可能会重新集结并重建其基础设施。

Group-IB 还指出，GambleForce 可能在美国境外运营，因为在其 C&C 服务器上频繁使用特定命令，并且该组织使用接受中文命令的 Cobalt Strike 版本，但指出“这个仅凭事实不足以确定该团体的起源。”

“Web 注入是最古老、最流行的攻击媒介之一。原因是有时开发人员忽视了输入安全和数据验证的重要性。”Group-IB 高级持续威胁高级分析师 Nikita Rostovcev 说道。“不安全的编码实践、不正确的数据库设置和过时的软件为 Web 应用程序的 SQL 注入攻击创造了无限的机会。”

参考链接：https://www.securityweek.com/new-threat-actor-uses-sql-injection-attacks-to-steal-data-from-apac-companies/