行業新聞與博客

安全研究人員警告説，一個新的威脅組織瞄準賭博、政府、零售和旅遊網站，竊取包括用户憑據在內的敏感信息。

Group-IB 將威脅者命名為“GambleForce”，因為其最初目標是在線博彩領域。

它已針對澳大利亞、中國、印度、印度尼西亞、菲律賓、韓國、泰國和巴西的至少 20 個網站進行攻擊，併成功入侵了 6 個網站。

GambleForce 採用基本技術來危害這些網站，包括 SQL 注入和利用易受攻擊的內容管理系統 (CMS) 軟件（如 Joomla）。

它僅使用開源工具進行初始訪問、偵察和數據泄露，並且還採用了 Cobalt Strike。 Group-IB 表示，它在該團伙的服務器上發現了一個使用中文命令的筆測試軟件版本，儘管它聲稱這不足以將該團伙與特定國家聯繫起來。

Group-IB 在命令與控制 (C2) 服務器上發現了該組織使用的工具，包括 dirsearch、Redis-rogue-getshell、Tinyproxy 和 sqlmap，後者是一種滲透測試工具，旨在掃描容易受到 SQL 注入攻擊的站點。

報告指出，GambleForce 只需使用 sqlmap 掃描網站，然後注入惡意 SQL 代碼，使其能夠繞過默認身份驗證並訪問敏感數據。

目前尚不清楚 GambleForce 如何利用被盜信息獲利。然而，Group-IB 表示，它已經從可訪問的數據庫中竊取了包含登錄名和散列密碼的用户數據庫以及主表列表。

“Web 注入是最古老、最流行的攻擊媒介之一。原因是有時開發人員忽視了輸入安全和數據驗證的重要性。”Group-IB 高級持續威脅高級分析師 Nikita Rostovcev 説道。研究團隊。

“不安全的編碼實踐、不正確的數據庫設置和過時的軟件為 Web 應用程序的 SQL 注入攻擊創造了肥沃的環境。”