Un grupo de hackers desconocido hasta ahora llamado GambleForce ha sido atribuido a una serie de ataques de inyección SQL contra empresas principalmente de la región Asia-Pacífico (APAC) desde al menos septiembre de 2023. El informe de la empresa con sede en Singapur, Group-IB, compartido con este medio, detalla que GambleForce utiliza técnicas básicas pero muy efectivas, como la inyección de SQL y la explotación de sistemas de gestión de contenido de sitios web (CMS) vulnerables para robar información sensible, como credenciales de usuario.
Este grupo se estima que ha atacado a 24 organizaciones en los sectores de juegos de azar, gobierno, venta minorista y viajes en Australia, Brasil, China, India, Indonesia, Filipinas, Corea del Sur y Tailandia. Seis de estos ataques tuvieron éxito.
El modus operandi de GambleForce es su dependencia exclusiva de herramientas de código abierto como dirsearch, sqlmap, tinyproxy y redis-rogue-getshell en diferentes etapas de los ataques con el objetivo final de extraer información sensible de las redes comprometidas.
Los actores también usan el marco de post-explotación legítimo conocido como Cobalt Strike. Curiosamente, la versión de la herramienta descubierta en su infraestructura de ataque usaba comandos en chino, aunque los orígenes del grupo están lejos de estar claros.
Las cadenas de ataque implican el abuso de aplicaciones de víctimas de cara al público explotando inyecciones SQL, así como la explotación de CVE-2023-23752, una falla de severidad media en Joomla CMS, para obtener acceso no autorizado a una empresa brasileña.
Las inyecciones SQL se realizan mediante sqlmap, una popular herramienta de pentesting de código abierto diseñada para automatizar el proceso de identificación de servidores de bases de datos vulnerables a inyecciones SQL y utilizarlos para tomar el control de los sistemas.
En dichos ataques, los ciberdelincuentes inyectan código SQL malicioso en una página web de cara al público del sitio web objetivo, lo que les permite evadir las protecciones de autenticación predeterminadas y acceder a datos sensibles, como credenciales de usuario hash y texto sin formato.
Actualmente, no se sabe cómo GambleForce aprovecha la información robada. La empresa de ciberseguridad dijo que también desactivó el servidor de comando y control (C2) del adversario e informó a las víctimas identificadas.
«Las inyecciones web son uno de los vectores de ataque más antiguos y populares», dijo Nikita Rostovcev, analista de amenazas senior en Group-IB.
«Y la razón es que a veces los desarrolladores pasan por alto la importancia de la seguridad de entrada y la validación de datos. Las prácticas de codificación inseguras, los ajustes de base de datos incorrectos y el software obsoleto crean un ambiente propicio para los ataques de inyección SQL en las aplicaciones web».
