Главная страница » IOC
0
1 год
IOC

GambleForce APT IOCs

security

В сентябре 2023 года компания Group-IB, специализирующаяся на кибербезопасности, обнаружила GambleForce, ранее неизвестного агента, специализирующегося на атаках с использованием SQL-инъекций в Азиатско-Тихоокеанском регионе. GambleForce атаковала более 20 веб-сайтов (правительственных, игорных, розничных и туристических) в Австралии, Китае, Индонезии, Филиппинах, Индии, Южной Корее, Таиланде и Бразилии.


Группа использовала набор инструментов с базовыми, но эффективными методами атак, что дало основания полагать о ее дальнейшей активности даже после того, как Group-IB уничтожила ее командно-контрольный сервер. Весь набор инструментов был основан на общедоступных инструментах с открытым исходным кодом, используемых в целях пентестирования. После более детального изучения набора инструментов стало ясно, что они, скорее всего, были связаны с угрожающим субъектом, использующим один из самых старых методов атаки: SQL-инъекции. Злоумышленники получили первоначальный доступ с помощью SQLmap, а затем загрузили Cobalt Strike на взломанные серверы. Примечательно, что версия Cobalt Strike, обнаруженная на сервере банды, использовала команды на китайском языке, но одного этого факта недостаточно, чтобы установить происхождение группы.

GambleForce - ранее неизвестный угрожающий агент, занимающийся атаками с использованием SQL-инъекций.

  • С момента своего появления в сентябре 2023 года группа атаковала 24 веб-сайта (правительственные, игорные, розничные, туристические и ищущие работу).
  • Группа в основном фокусируется на Азиатско-Тихоокеанском регионе: Австралия, Китай, Индонезия, Филиппины, Индия, Южная Корея, Таиланд.
  • GambleForce использует набор общедоступных инструментов с открытым исходным кодом для пентестинга: dirsearch, redis-rogue-getshell, Tinyproxy, sqlmap и Cobalt Strike.
  • Версия Cobalt Strike, обнаруженная на сервере банды, использовала команды на китайском языке.
  • В одной из атак в Бразилии злоумышленники использовали CVE-2023-23752, уязвимость в CMS Joomla, но им не удалось вывести какие-либо данные.
  • Group-IB уничтожила C&C банды и отправила уведомления идентифицированным жертвам.
  • В подразделении аналитики угроз Group-IB считают, что группировка может вскоре восстановить инфраструктуру.

Indicators of Compromise

IPv4

  • 212.60.5.129
  • 38.54.40.156

Domains

  • dns-supports.online
  • windows.updates.wiki
Комментарии: 0
Похожие записи
0
4 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
4 дня
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.
0
8 дней
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.