行業新聞與部落格

安全研究人員警告說，一個新的威脅組織瞄準賭博、政府、零售和旅遊網站，竊取包括使用者憑據在內的敏感資訊。

Group-IB 將威脅者命名為“GambleForce”，因為其最初目標是線上博彩領域。

它已針對澳大利亞、中國、印度、印度尼西亞、菲律賓、韓國、泰國和巴西的至少 20 個網站進行攻擊，併成功入侵了 6 個網站。

GambleForce 採用基本技術來危害這些網站，包括 SQL 注入和利用易受攻擊的內容管理系統 (CMS) 軟體（如 Joomla）。

它僅使用開源工具進行初始訪問、偵察和資料洩露，並且還採用了 Cobalt Strike。 Group-IB 表示，它在該團伙的伺服器上發現了一個使用中文命令的筆測試軟體版本，儘管它聲稱這不足以將該團伙與特定國家聯絡起來。

Group-IB 在命令與控制 (C2) 伺服器上發現了該組織使用的工具，包括 dirsearch、Redis-rogue-getshell、Tinyproxy 和 sqlmap，後者是一種滲透測試工具，旨在掃描容易受到 SQL 注入攻擊的站點。

報告指出，GambleForce 只需使用 sqlmap 掃描網站，然後注入惡意 SQL 程式碼，使其能夠繞過預設身份驗證並訪問敏感資料。

目前尚不清楚 GambleForce 如何利用被盜資訊獲利。然而，Group-IB 表示，它已經從可訪問的資料庫中竊取了包含登入名和雜湊密碼的使用者資料庫以及主表列表。

“Web 注入是最古老、最流行的攻擊媒介之一。原因是有時開發人員忽視了輸入安全和資料驗證的重要性。”Group-IB 高階持續威脅高階分析師 Nikita Rostovcev 說道。研究團隊。

“不安全的編碼實踐、不正確的資料庫設定和過時的軟體為 Web 應用程式的 SQL 注入攻擊創造了肥沃的環境。”