Groupe de pirates informatiques GambleForce attaque des entreprises APAC avec des injections SQL

« GambleForce utilise un ensemble de techniques basiques mais très efficaces, notamment les injections SQL et l’exploitation de systèmes de gestion de contenu (CMS) vulnérables pour voler des informations sensibles, telles que les identifiants des utilisateurs », a déclaré Group-IB, une société basée à Singapour, dans un rapport partagé avec The Hacker News.

On estime que le groupe a ciblé 24 organisations dans les secteurs du jeu, du gouvernement, de la vente au détail et du voyage en Australie, au Brésil, en Chine, en Inde, en Indonésie, aux Philippines, en Corée du Sud et en Thaïlande. Six de ces attaques ont été couronnées de succès.

Le modus operandi de GambleForce est son recours exclusif à des outils open-source tels que dirsearch, sqlmap, tinyproxy et redis-rogue-getshell à différents stades des attaques, dans le but ultime d’exfiltrer des informations sensibles des réseaux compromis.

L’acteur de la menace a également utilisé le cadre légitime de post-exploitation connu sous le nom de Cobalt Strike. Il est intéressant de noter que la version de l’outil découverte sur son infrastructure d’attaque utilisait des commandes en chinois, bien que les origines du groupe soient loin d’être claires.

Les chaînes d’attaque comprennent l’utilisation abusive des applications publiques des victimes en exploitant des injections SQL ainsi que la CVE-2023-23752 – une faille de gravité moyenne dans le CMS Joomla – afin d’obtenir un accès non autorisé à une entreprise brésilienne.

Les injections SQL sont réalisées au moyen de sqlmap, un outil de pentesting open source populaire conçu pour automatiser l’identification des serveurs de bases de données vulnérables aux injections SQL et les armer pour prendre le contrôle de systèmes. Dans ce type d’attaques, les acteurs de la menace injectent un code SQL malveillant dans une page web publique qui leur permet d’accéder aux protections d’authentification par défaut et aux données sensibles – telles que les informations d’identification de l’utilisateur en texte clair et haché.
On ne sait pas encore comment GambleForce exploite les informations volées, mais la société de cybersécurité Group IB a déclaré qu’elle avait mis hors service le serveur de commande et de contrôle de l’adversaire et notifié les victimes identifiées.

« Les injections Web font partie des vecteurs d’attaque les plus anciens et les plus populaires », a déclaré Nikita Rostovcev, analyste principal des menaces chez Group IB, « et la raison en est que les développeurs négligent parfois l’importance de la sécurité des entrées et de la validation des données. Des pratiques de codage non sécurisées, des paramètres de base de données incorrects et des logiciels obsolètes créent un environnement fertile pour les attaques par injection SQL sur les applications web.