行业新闻与博客

安全研究人员警告说，一个新的威胁组织瞄准赌博、政府、零售和旅游网站，窃取包括用户凭据在内的敏感信息。

Group-IB 将威胁者命名为“GambleForce”，因为其最初目标是在线博彩领域。

它已针对澳大利亚、中国、印度、印度尼西亚、菲律宾、韩国、泰国和巴西的至少 20 个网站进行攻击，并成功入侵了 6 个网站。

GambleForce 采用基本技术来危害这些网站，包括 SQL 注入和利用易受攻击的内容管理系统 (CMS) 软件（如 Joomla）。

它仅使用开源工具进行初始访问、侦察和数据泄露，并且还采用了 Cobalt Strike。 Group-IB 表示，它在该团伙的服务器上发现了一个使用中文命令的笔测试软件版本，尽管它声称这不足以将该团伙与特定国家联系起来。

Group-IB 在命令与控制 (C2) 服务器上发现了该组织使用的工具，包括 dirsearch、Redis-rogue-getshell、Tinyproxy 和 sqlmap，后者是一种渗透测试工具，旨在扫描容易受到 SQL 注入攻击的站点。

报告指出，GambleForce 只需使用 sqlmap 扫描网站，然后注入恶意 SQL 代码，使其能够绕过默认身份验证并访问敏感数据。

目前尚不清楚 GambleForce 如何利用被盗信息获利。然而，Group-IB 表示，它已经从可访问的数据库中窃取了包含登录名和散列密码的用户数据库以及主表列表。

“Web 注入是最古老、最流行的攻击媒介之一。原因是有时开发人员忽视了输入安全和数据验证的重要性。”Group-IB 高级持续威胁高级分析师 Nikita Rostovcev 说道。研究团队。

“不安全的编码实践、不正确的数据库设置和过时的软件为 Web 应用程序的 SQL 注入攻击创造了肥沃的环境。”