ClickCease Attaques de GambleForce : Les entreprises de l'APAC ciblées par des injections SQL

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Attaques de GambleForce : Les entreprises de l'APAC ciblées par des injections SQL

par Wajahat Raja

Le 25 décembre 2023 - L'équipe d'experts de TuxCare

À la lumière des récentes attaques de GambleForceun nouvel acteur a fait son apparition, ciblant plus de 20 organisations dans la région Asie-Pacifique. Ce groupe de pirates est principalement connu pour ses injections SQL visant à exploiter les vulnérabilités des systèmes de gestion de contenu (CMS).

Les principales cibles sont des organisations de divers secteurs tels que les jeux d'argent, le gouvernement, la vente au détail et les voyages. Dans cet article, nous nous attacherons à découvrir tous les détails des cybermenaces par injection SQL. menaces cybernétiques par injection SQL posées par les attaques de GambleForce.

 

Tactiques de GambleForce : La menace sous-jacente


GambleForce utilise une série de techniques astucieuses mais efficaces, dont les fameuses
fameuses injections SQLpour exploiter les systèmes de gestion de contenu (CMS) vulnérables des sites web. D'après les modèles d'attaque de modèles d'attaques informatiques de GambleForce, le groupe s'appuie sur le vol d'informations sensibles, en particulier les informations d'identification des utilisateurs, ce qui pose d'importants problèmes de cybersécurité.

À ce jour, on estime que le groupe a ciblé des organisations en Australie, au Brésil, en Chine, en Inde, en Indonésie, aux Philippines, en Corée du Sud et en Thaïlande. Malgré l'utilisation de techniques de base, les attaques de GambleForce ont été couronnées de succès à six reprises, ce qui montre à quel point certaines organisations sont vulnérables aux cybermenaces de type les cybermenaces par injection SQL.


Démasquer les attaques de GambleForce 


La CC de GambleForce, découverte en
septembre 2023Il hébergeait un arsenal d'outils tels que dirsearch, redis-rogue-getshell, Tinyproxy et sqlmap. Parmi ces outils, sqlmap, un outil open-source de pen-testing, a joué un rôle essentiel dans l'identification et l'exploitation de serveurs de bases de données vulnérables par le biais d'injections SQL.

Ces injections consistent à injecter un code SQL malveillant dans des pages web publiques, ce qui permet un accès non autorisé à des données sensibles. En outre, l'exploitation exploitation de CVE-2023-23752 a été identifiée comme faisant partie des modèles d'attaques cybernétiques de modèles d'attaques informatiques de GambleForce lorsque l'acteur de la menace a obtenu un accès non autorisé à une entreprise brésilienne. Il convient de mentionner que cette vulnérabilité est une faille de gravité moyenne dans le CMS Joomla.

Comment GambleForce exploite les informations volées en exploitant les vulnérabilités de la cybersécurité de l'APAC vulnérabilités de l'APAC en matière de cybersécurité est actuellement inconnue. GambleForce s'appuie exclusivement sur des outils open-source accessibles au public pour l'accès initial, la reconnaissance et l'exfiltration des données.

Le groupe utilise notamment le cadre Cobalt Strike, dont une version découverte sur son serveur contient des commandes en chinois. des commandes en chinois. Toutefois, l'attribution de l'origine du groupe sur la seule base de cet aspect linguistique n'est pas concluante.

 


Action rapide : Démantèlement du serveur de commandement et de contrôle


L'unité de renseignement sur les menaces du Group-IB a rapidement identifié le serveur de commande et de contrôle (CnC) de GambleForce. L'équipe d'intervention en cas d'urgence informatique de la société (CERT-GIB) a pris des mesures décisives et a réussi à mettre hors service le CnC, démantelant ainsi le centre névralgique des opérations de GambleForce. 

En outre, Group-IB a envoyé des notifications aux victimes identifiées, fournissant ainsi une couche de défense cruciale contre les menaces potentielles. En outre, l'entreprise de sécurité a identifié que l'acteur de la menace, au lieu de chercher des données spécifiques, tente d'exfiltrer une base de données des informations qu'elle contient. 

Leur vulnérabilité et les tactiques d'exploitation de l'attaque rappellent brutalement aux organisations qu'il est nécessaire de mettre en place des stratégies de défense contre les attaques de GambleForce. que des stratégies de défense contre les attaques de GambleForce doivent être élaborées. Bien que les menaces cybernétiques pesant sur les entreprises de l'APAC aient été neutralisées pour le moment, des rapports indiquent que l'acteur de la menace est susceptible de redevenir actif.

Étant donné que l'acteur de la menace vise à exfiltrer des bases de données entières, la prévention des injections SQL dans les réseaux d'entreprise est primordiale.


Conclusion

 

Les attaques de GambleForce dans la région Asie-Pacifique ont mis en évidence la nécessité de mettre en place des mesures de cybersécurité pour la prévention des injections SQL. mesures de cybersécurité pour la prévention des injections SQL. L'acteur de la menace est connu pour utiliser des outils open-source pour l'identification et l'exploitation des vulnérabilités dans les bases de données. L'utilisation de techniques de base par les pirates a donné lieu à six attaques réussies. Cela montre non seulement la vulnérabilité de l'infrastructure organisationnelle, mais aussi la nécessité d'utiliser des mesures de cybersécurité proactives. des mesures de cybersécurité proactives.

Les sources de cet article comprennent des articles dans The Hacker News et Security Week.

 

 

 

Résumé
Attaques de GambleForce : Les entreprises de l'APAC ciblées par des injections SQL
Nom de l'article
Attaques de GambleForce : Les entreprises de l'APAC ciblées par des injections SQL
Description
Découvrez les dernières informations sur les attaques de GambleForce ciblant les entreprises de l'APAC avec des injections SQL. Restez informé des techniques mises à jour des acteurs de la menace !
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !