Ataques de GambleForce: Empresas de APAC atacadas con inyecciones SQL
A la luz de los recientes ataques de GambleForceha surgido un nuevo actor de amenazas que tiene como objetivo más de 20 organizaciones de la región Asia-Pacífico. El grupo de hackers es conocido principalmente por utilizar inyecciones SQL para explotar vulnerabilidades en sistemas de gestión de contenidos (CMS).
Los objetivos principales incluyen organizaciones de diversos sectores, como el juego, la administración pública, el comercio minorista y los viajes. En este artículo, nos centraremos en desvelar todos los detalles de las ciberamenazas de inyección SQL planteadas por los ataques ataques de GambleForce.
Tácticas de GambleForce: La amenaza subyacente
GambleForce emplea una serie de técnicas astutas pero eficaces, incluidas las famosas inyecciones SQLpara explotar sistemas de gestión de contenidos (CMS) vulnerables en sitios web. Basándose en los patrones de ciberataque de GambleForce el grupo aprovecha para hurtar información sensible, en particular las credenciales de usuario, causando importantes problemas de ciberseguridad.
Por el momento, se calcula que el grupo ha atacado organizaciones de Australia, Brasil, China, India, Indonesia, Filipinas, Corea del Sur y Tailandia. A pesar del uso de técnicas básicas, los ataques de ataques de GambleForce han tenido éxito seis veces, lo que demuestra lo vulnerables que son ciertas organizaciones a las ciberamenazas de inyección SQL.
Desenmascarar los ataques de GambleForce
El CnC de GambleForce, descubierto en septiembre de 2023albergaba un arsenal de herramientas como dirsearch, redis-rogue-getshell, Tinyproxy y sqlmap. De estas herramientas, sqlmap, una herramienta de pen-testing de código abierto, desempeñó un papel fundamental en la identificación y explotación de servidores de bases de datos vulnerables mediante inyecciones SQL.
Estas inyecciones consisten en inyectar código SQL malicioso en páginas web públicas, lo que permite el acceso no autorizado a datos confidenciales. Además, la explotación de CVE-2023-23752 como parte de los patrones de ciberataque de patrones de ciberataque de GambleForce cuando el actor de la amenaza obtuvo acceso no autorizado a una empresa brasileña. Cabe mencionar que esta vulnerabilidad es un fallo de gravedad media en el CMS Joomla.
Cómo aprovecha GambleForce la información robada mediante la explotación de vulnerabilidades de ciberseguridad de APAC actualmente se desconoce. GambleForce utiliza exclusivamente herramientas de código abierto disponibles públicamente para el acceso inicial, el reconocimiento y la extracción de datos.
En particular, el grupo emplea el marco Cobalt Strike, con una versión descubierta en su servidor que contiene comandos en chino. Sin embargo, no es concluyente atribuir el origen del grupo únicamente a este aspecto lingüístico.
Acción rápida: Desmantelamiento del servidor de mando y control
La unidad de Inteligencia de Amenazas de Group-IB identificó rápidamente el servidor de mando y control (CnC) de GambleForce. Actuando con decisión, el Equipo de Respuesta a Emergencias Informáticas (CERT-GIB) de la empresa logró derribar el CnC, desmantelando el centro neurálgico de las operaciones de GambleForce.
Además, Group-IB emitió notificaciones a las víctimas identificadas, proporcionando una capa crucial de defensa contra posibles amenazas. Además, la empresa de seguridad ha identificado que el actor de la amenaza, en lugar de buscar datos específicos, intenta exfiltrar una base de datos de la información que contiene.
Su vulnerabilidad y las tácticas de explotación del ataque sirven como un duro recordatorio a las organizaciones de que estrategias para defenderse de los ataques GambleForce deben ser desarrolladas. Aunque ciberamenazas a las empresas de APAC han sido neutralizadas por el momento, los informes mencionan que es probable que el actor de la amenaza vuelva a estar activo.
Dado que el objetivo del actor de la amenaza es filtrar bases de datos enteras, prevenir las inyecciones SQL en las redes empresariales es primordial.
Conclusión
Los ataques de GambleForce en la región Asia-Pacífico han puesto de relieve la necesidad de medidas de ciberseguridad para prevenir las inyecciones SQL. Se sabe que el actor de la amenaza utiliza herramientas de código abierto para la identificación y explotación de vulnerabilidades en bases de datos. El uso de técnicas básicas por parte de los piratas informáticos ha dado lugar a seis ataques con éxito. Esto no solo demuestra lo vulnerable que es la infraestructura organizativa, sino que exige el uso de medidas proactivas de ciberseguridad.
Las fuentes de este artículo incluyen artículos en The Hacker News y Semana de la Seguridad.