Тактика GambleForce: простые методы помогают обмануть сложные системы безопасности

Новая хакерская группировка GambleForce использует примитивные и устаревшие методы атак для взлома правительственных учреждений и компаний в Азиатско-Тихоокеанском регионе. Об этом сообщает сингапурская кибербезопасная фирма Group-IB .

GambleForce действует с сентября 2023 года и изначально нацеливалась на игорный бизнес. Однако в последнее время хакеры расширили сферу своих интересов, взламывая государственные сайты, туристические фирмы и онлайн-магазины. На данный момент известно о 20 жертвах, в основном базирующихся в Австралии, Китае, Индонезии, Филиппинах, Индии, Южной Корее, Таиланде и Бразилии.

Для атак GambleForce использует набор публично доступных инструментов для пентестинга: dirsearch, sqlmap, tinyproxy и redis-rogue-getshell. Злоумышленники не вносят в них никаких уникальных модификаций и оставляют практически все настройки по умолчанию. Применяется также легитимный фреймворк, известный как Cobalt Strike.

Основным методом заражения служат SQL-инъекции – один из старейших приемов, при котором злоумышленник внедряет вредоносный SQL-код в запросы к базе данных. Как отмечают эксперты, многие компании до сих пор уязвимы для этой угрозы из-за того, что не устраняют фундаментальные недостатки в системах безопасности.

Инъекции SQL осуществляются с помощью sqlmap, популярного инструмента с открытым исходным кодом, который автоматизирует поиск незащищенных серверов и позволяет использовать их дефекты для взлома систем.

Цели атак GambleForce пока неясны. В некоторых случаях хакеры прекращали атаку после проведения разведки, а в других успешно извлекали данные пользователей, включая логины, хэшированные пароли и списки таблиц из доступных баз данных.

После обнаружения деятельности GambleForce исследователи отключили используемый хакерами сервер управления и контроля. Однако они полагают, что злоумышленники, скорее всего, без труда восстановят инфраструктуру и продолжат свою деятельность.

Хотя команда Group-IB и не связывает GambleForce с какой-либо конкретной страной, в коде, который использует группа, были обнаружены китайские слова. Но, конечно, этого недостаточно, чтобы определить ее происхождение.