531/66 (IT) ประจำวันศุกร์ที่ 15 ธันวาคม 2566
บริษัท Group-IB มีการพบแฮ็กเกอร์กลุ่มใหม่ที่ไม่เป็นที่รู้จักมาก่อนหน้านี้ มีชื่อเรียกว่า GambleForce พบว่ามีส่วนเกี่ยวข้องกับการโจมตีแบบ SQL injection ต่อบริษัทต่าง ๆ ในภูมิภาคเอเชียแปซิฟิก (APAC) เพื่อขโมยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลประจำตัวของผู้ใช้งาน โดยมีการดำเนินการมาตั้งแต่เดือนกันยายน 2566 เป็นอย่างน้อย รวมถึงมีการโจมตีโดยใช้ประโยชน์จากช่องโหว่ CVE-2023-23752 ซึ่งเป็นข้อบกพร่องระดับปานกลางใน Joomla CMS อีกด้วย โดยกลุ่มนี้จะกำหนดเป้าหมายไปที่ 24 องค์กรจากหลาย ๆ ภาคส่วน เช่น รัฐบาล ด้านการค้าปลีก และการท่องเที่ยว จากประเทศต่าง ๆ เช่น ออสเตรเลีย บราซิล จีน อินเดีย อินโดนีเซีย ฟิลิปปินส์ เกาหลีใต้ และประเทศไทย โดยมีการโจมตีที่ประสบความสำเร็จถึง 6 ครั้ง
โดยวิธีดำเนินการของกลุ่ม GambleForce คือการใช้งานเครื่องมือจากโอเพ่นซอร์สโดยเฉพาะ เช่น dirsearch, sqlmap, Tinyproxy และ redis-rogue-getshell ในขั้นตอนต่าง ๆ ของการโจมตีโดยมีเป้าหมายสูงสุดในการกรองข้อมูลที่ละเอียดอ่อนจากเครือข่ายที่ถูกบุกรุก ซึ่งผู้คุกคามยังใช้เฟรมเวิร์กหลังการแสวงหาผลประโยชน์ที่ถูกต้องตามกฎหมายที่เรียกว่า Cobalt Strike สิ่งที่น่าสนใจคือเวอร์ชันของเครื่องมือที่ค้นพบบนโครงสร้างพื้นฐานการโจมตีใช้คำสั่งเป็นภาษาจีน ถึงแม้ว่ายังไม่มีความชัดเจนของต้นกำเนิดของแฮกเกอร์กลุ่มนี้ก็ตาม
แหล่งข่าว https://thehackernews.com/2023/12/new-hacker-group-gambleforce-tageting.html