New Threat Actor Uses SQL Injection Attacks to Steal Data From APAC Companies
2023/12/14 SecurityWeek — 脅威ハンティング・インテリジェンス企業 Group-IB のレポートによると、2023年9月以降において新たな脅威アクターが、8カ国 (主に APAC) の 24の組織を標的としているという。この、GambleForce と名付けられたハッキング・グループは、SQL インジェクションを使用し、ギャンブル/旅行/小売/行政などの分野の組織で利用される、Joomla CMS (Content Management System) の脆弱性を悪用して、ユーザー認証データなどの機密情報を盗んできた。
このハッキング・グループは、オープン・ソースなどの一般に入手できる正規ツールのみに依存して、イニシャル・アクセス/偵察行為/データ窃取を行い、また、ペンテスト・フレームワーク Cobalt Strike を用いて攻撃を行ってきたことが確認されている。
また、このハッキング・グループの Command and Control (C2) サーバ上では、dirsearch (web path brute-forcer)/redis-rogue-getshell (Redis 旧バージョン用のエクスプロイト)/Tinyproxy (軽量 HTTP/HTTPS プロキシ・デーモン)/sqlmap (SQL インジェクションと DB 乗っ取り用の自動化ツール) などが確認されたと、Group-IB は述べている。
同社は、「sqlmap は、SQL インジェクションに対して脆弱な DB サーバを特定し、それを悪用するために設計された、人気のオープンソースのペンテスト・ツールである。この脅威アクターは、悪意の SQL コードを一般向けの Web ページに注入し、デフォルトの認証を回避して機密データにアクセスできるようにした」と説明している。
観測された、このハッキング・グループによる攻撃の一部では、偵察の段階で停止したものもある。しかし、ログイン情報/ハッシュ化されたパスワードに加えて、アクセス可能なデータベースからメインテーブルのリストなどを、盗み出していたケースもあったという。
2023年9月〜12月に GambleForce は、オーストラリアの旅行会社および、インドネシアの旅行/小売会社、フィリピンの政府機関、韓国のギャンブル会社といった6つの組織から、データの流出を成功させた。
また、Group-IB によると、ブラジルの企業に対する攻撃では、Joomla の不適切なアクセス・チェックの脆弱性 CVE-2023-23752 を悪用し、別の攻撃では、Web サイトの問い合わせフォームに送信されたリクエストを介して、データを流出させたことが確認されたという。
Group-IB は、「この脅威アクターは、特定のデータを探すのではなく、標的としたデータベース内の価値のある情報を流出させようとする」と指摘している。同社によると、GambleForce の C2 サーバ は閉鎖されたが、インフラの再編成/再構築が行われる可能性が高いという。
さらに Group-IB は、GambleForce が C2 サーバ上で特定のコマンドを頻繁に使用していることから、米国外で活動している可能性が高いこと、そして、同グループが中国語のコマンドを受け付ける Cobalt Strike のバージョンを使用していることを指摘している。しかし、この事実だけで、同グループの所在を特定することは難しいと指摘している。
GambleForce という新たなハッキング・グループが、Joomla の不適切なアクセス・チェックの脆弱性 CVE-2023-23752 を悪用するかたちで、SQL インジェクション攻撃を仕掛けているようです。この脆弱性について、お隣のキュレーション・チームに聞いてみましたが、2023年3月に拾っている情報であり、CVSS 値は 5.5 で、CWE-284 (不適切なアクセス制御) だと言っていました。ご利用のチームは、お気をつけください。なお、Joomla に関しては、2023/12/03 に「Joomla の脆弱性 CVE-2023-40626 が FIX:直ちにアップデートを!」という記事もポストされています。
IoT OT Security News 
You must be logged in to post a comment.