据威胁追踪和情报公司 Group-IB 报道，自 9 月以来，一个新的威胁行为者已针对 8 个国家（主要位于亚太地区）的 24 个组织发起攻击。

名为 GambleForce，该黑客组织一直使用 SQL 注入并利用赌博组织的内容管理系统 (CMS) 中的漏洞、政府、零售和旅游部门，窃取敏感信息，包括用户凭证。

该黑客组织完全依赖开源和其他公开可用的工具来进行初始访问、侦察和数据盗窃，并且据观察在攻击中使用了 Cobalt Strike 渗透测试框架。

在黑客组织的命令与控制 (C&C) 服务器上，Group-IB 识别出诸如 dirsearch（一种 Web 路径暴力破解程序）、redis-rogue-getshell（针对旧版 Redis 版本的漏洞）、Tinyproxy（一种轻量级 HTTP/HTTPS 代理守护进程）和 sqlmap（自动 SQL 注入和数据库接管工具）。

“后者是一种流行的开源笔测试工具，旨在识别易受 SQL 注入攻击的数据库服务器并利用它们。威胁行为者将恶意 SQL 代码注入到面向公众的网页中，这使他们能够绕过默认身份验证并访问敏感数据。”Group-IB 解释道。

在观察到的一些攻击中，黑客组织停留在侦察阶段。然而，在其他情况下，它能够从可访问的数据库中窃取登录信息、散列密码和主表列表。

2023 年 9 月至 12 月期间，GambleForce 成功从澳大利亚（一家旅游实体）、印度尼西亚（三家旅游和零售公司）、菲律宾（一家政府组织）和韩国（一家赌博平台）的 6 个组织中窃取了数据。

Group-IB 还表示，它观察到黑客在针对巴西实体的攻击中利用了 CVE-2023-23752（Joomla 中的不当访问检查问题），并在另一次攻击中通过提交到网站联系表单的请求窃取数据。

Group-IB 指出：“威胁行为者不是寻找特定数据，而是试图窃取目标数据库中所有可能的信息。”

该网络安全公司表示 GambleForce 的 C&C 已被撤下，但认为威胁行为者可能会重新集结并重建其基础设施。

Group-IB 还指出，GambleForce 可能在美国境外运营，因为在其 C&C 服务器上频繁使用特定命令，并且该组织使用接受中文命令的 Cobalt Strike 版本，但指出“有限事实不足以确定该团体的起源。”