กลุ่มแฮ็กเกอร์ใหม่ “GambleForce” กำลังโจมตีบริษัทในภูมิภาคเอเชียแปซิฟิก โดยใช้ SQL Injection

กลุ่มแฮ็กเกอร์ที่ปรากฏตัวขึ้นใหม่ภายใต้ชื่อ "GambleForce" กำลังโจมตีบริษัทต่างๆ ในภูมิภาคเอเชียแปซิฟิก (APAC) ด้วยวิธี SQL Injection ตั้งแต่เดือนกันยายน 2023

บริษัท Group-IB จากประเทศสิงคโปร์ ระบุไว้ในรายงานที่แชร์กับ The Hacker News ว่า "GambleForce ใช้ชุดเทคนิคพื้นฐาน แต่มีประสิทธิภาพสูง รวมถึงการโจมตีแบบ SQL injection และการใช้ประโยชน์จากช่องโหว่ใน website content management systems (CMS) เพื่อขโมยข้อมูลสำคัญ เช่น ข้อมูล credentials ของผู้ใช้"

คาดว่ากลุ่ม GambleForce โจมตีองค์กรต่าง ๆ ไปแล้วกว่า 24 องค์กร โดยมุ่งเป้าไปที่ บ่อนการพนัน, หน่วยงานรัฐบาล, บริษัทค้าปลีก และการท่องเที่ยว ในประเทศออสเตรเลีย บราซิล จีน อินเดีย อินโดนีเซีย ฟิลิปปินส์ เกาหลีใต้ และไทย ซึ่งการโจมตีเหล่านี้ประสบความสำเร็จถึง 6 ครั้ง

กลุ่มแฮ็กเกอร์ GambleForce จะใช้เครื่องมือโอเพ่นซอร์สตลอดกระบวนการโจมตี เช่น dirsearch, sqlmap, tinyproxy, และ redis-rogue-getshell โดยมีเป้าหมายคือ การขโมยข้อมูลสำคัญจากเครือข่ายที่ถูกโจมตี

นอกเหนือจากเครื่องมือโอเพ่นซอร์สแล้ว GambleForce ยังใช้ Cobalt Strike ซึ่งเป็นเฟรมเวิร์ก post-exploitation โดยใช้คำสั่งเป็นภาษาจีน แต่ยังไม่แน่ชัดว่าแหล่งกำเนิดของกลุ่มนี้มาจากที่ไหน

การโจมตีของ GambleForce เกี่ยวข้องกับการใช้ช่องโหว่ของแอปพลิเคชันที่เปิดให้เข้าถึงจากอินเทอร์เน็ตของเป้าหมาย โดยใช้ SQL Injection และการใช้ประโยชน์จากช่องโหว่ CVE-2023-23752 ซึ่งเป็นช่องโหว่ระดับความรุนแรงปานกลางใน Joomla CMS เพื่อเข้าถึงข้อมูลของบริษัทในบราซิลโดยไม่ได้รับอนุญาต

การโจมตีแบบ SQL Injection อาศัยเครื่องมือโอเพ่นซอร์สยอดนิยมอย่าง "sqlmap" ซึ่งออกแบบมาเพื่อช่วยในการทำ penetration testing โดยทำหน้าที่ระบุ database servers ที่อาจมีช่องโหว่ SQL Injection และทำการโจมตีเพื่อเข้าควบคุมระบบ

ในการโจมตีดังกล่าว กลุ่มแฮ็กเกอร์จะทำการ inject SQL code ที่เป็นอันตรายเข้าไปในเว็บไซต์เป้าหมาย ทำให้สามารถ Bypass ระบบยืนยันตัวตน และเข้าถึงข้อมูลที่สำคัญ เช่น ข้อมูล credentials ของผู้ใช้ที่เข้ารหัส และแบบ plaintext

ปัจจุบันยังไม่ทราบแน่ชัดว่า GambleForce นำข้อมูลที่ขโมยมาไปใช้ประโยชน์อย่างไร โดย Group-IB ระบุว่า พวกเขาได้ปิดเซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของผู้โจมตีลงได้แล้ว และได้แจ้งเตือนไปยังผู้เสียหายที่สามารถระบุตัวตนได้

Nikita Rostovcev นักวิเคราะห์ภัยคุกคามอาวุโสจาก Group-IB ระบุว่า "web injections เป็นวิธีการโจมตีที่ค่อนข้างเก่า แต่ก็ยังถือว่าถูกใช้ในการโจมตีมากที่สุด"

สาเหตุก็คือ ในบางครั้งนักพัฒนามักจะมองข้ามความสำคัญของการรักษาความปลอดภัยของ input security และ data validation โดยการเขียนโค้ดที่ไม่ปลอดภัย, การตั้งค่า database ที่ไม่ถูกต้อง และซอฟต์แวร์ที่ล้าสมัย เป็นการเอื้อต่อการโจมตีด้วย SQL injection ในแอปพลิเคชัน

ที่มา : thehackernews