กลุ่มผู้ไม่ประสงค์ดีที่ปรากฏตัวขึ้นใหม่ภายใต้ชื่อ "GambleForce" กำลังโจมตีบริษัทต่างๆ เอเชียแปซิฟิก (APAC) ด้วยวิธี SQL Injection ตั้งแต่เดือนกันยายน 2023
บริษัท Group-IB จากประเทศสิงคโปร์ ระบุไว้ในรายงานว่า "GambleForce ใช้ชุดการโจมตีแบบเทคนิคพื้นฐาน แต่มีประสิทธิภาพสูง รวมถึงการโจมตีแบบ SQL injection และการใช้ประโยชน์จากช่องโหว่ใน website content management systems (CMS) เพื่อขโมยข้อมูลสำคัญ เช่น ข้อมูล credentials ของผู้ใช้"
คาดว่ากลุ่ม GambleForce โจมตีองค์กรต่าง ๆ ไปแล้วกว่า 24 องค์กร โดยมุ่งเป้าไปที่ บ่อนการพนัน, หน่วยงานรัฐบาล, บริษัทค้าปลีก และการท่องเที่ยว ในประเทศออสเตรเลีย บราซิล จีน อินเดีย อินโดนีเซีย ฟิลิปปินส์ เกาหลีใต้ และไทย ซึ่งการโจมตีเหล่านี้ประสบความสำเร็จถึง 6 ครั้ง
กลุ่มผู้ไม่ประสงค์ดี GambleForce จะใช้เครื่องมือโอเพ่นซอร์สตลอดกระบวนการโจมตี เช่น dirsearch, sqlmap, tinyproxy, และ redis-rogue-getshell โดยมีเป้าหมายคือ การขโมยข้อมูลสำคัญจากเครือข่ายที่ถูกโจมตี นอกเหนือจากเครื่องมือโอเพ่นซอร์สแล้ว GambleForce ยังใช้ Cobalt Strike ซึ่งเป็นเฟรมเวิร์ก post-exploitation โดยใช้คำสั่งเป็นภาษาจีน แต่ยังไม่แน่ชัดว่าแหล่งกำเนิดของกลุ่มนี้มาจากที่ไหน
กลุ่มผู้ไม่ประสงค์ดี GambleForce เกี่ยวข้องกับการใช้ช่องโหว่ของแอปพลิเคชันที่เปิดให้เข้าถึงจากอินเทอร์เน็ตของเป้าหมาย โดยใช้ SQL Injection และการใช้ประโยชน์จากช่องโหว่ CVE-2023-23752 ซึ่งเป็นช่องโหว่ระดับความรุนแรงปานกลางใน Joomla CMS เพื่อเข้าถึงข้อมูลของบริษัทในบราซิลโดยไม่ได้รับอนุญาต
การโจมตีแบบ SQL Injection อาศัยเครื่องมือโอเพ่นซอร์สยอดนิยมอย่าง "sqlmap" ซึ่งออกแบบมาเพื่อช่วยในการทำ penetration testing โดยทำหน้าที่ระบุ database servers ที่อาจมีช่องโหว่ SQL Injection และทำการโจมตีเพื่อเข้าควบคุมระบบ ในการโจมตีดังกล่าว กลุ่มผู้ไม่ประสงค์ดีจะทำการ inject SQL code ที่เป็นอันตรายเข้าไปในเว็บไซต์เป้าหมาย ทำให้สามารถ Bypass ระบบยืนยันตัวตน และเข้าถึงข้อมูลที่สำคัญ เช่น ข้อมูล credentials ของผู้ใช้ที่เข้ารหัส และแบบ plaintext
ปัจจุบันยังไม่ทราบแน่ชัดว่า GambleForce นำข้อมูลที่ขโมยมาไปใช้ประโยชน์อย่างไร โดย Group-IB ระบุว่า พวกเขาได้ปิดเซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของผู้โจมตีลงได้แล้ว และได้แจ้งเตือนไปยังผู้เสียหายที่สามารถระบุตัวตนได้
Nikita Rostovcev นักวิเคราะห์ภัยคุกคามอาวุโสจาก Group-IB ระบุว่า "web injections เป็นวิธีการโจมตีที่ค่อนข้างเก่า แต่ก็ยังถือว่าถูกใช้ในการโจมตีมากที่สุด" สาเหตุก็คือ ในบางครั้งนักพัฒนามักจะมองข้ามความสำคัญของการรักษาความปลอดภัยของ input security และ data validation โดยการเขียนโค้ดที่ไม่ปลอดภัย, การตั้งค่า database ที่ไม่ถูกต้อง และซอฟต์แวร์ที่ล้าสมัย เป็นการเอื้อต่อการโจมตีด้วย SQL injection ในแอปพลิเคชัน
Ref : thehackernews
ไม่มีความคิดเห็น:
แสดงความคิดเห็น