MAJALAH ICT – Jakarta. Group-IB, pencipta teknologi keamanan siber terkemuka untuk menyelidiki, mencegah, dan memerangi kejahatan digital, telah menemukan pelaku ancaman yang sebelumnya tidak dikenal dengan nama sandi GambleForce (dilacak dengan nama EagleStrike GambleForce di Platform Intelijen Ancaman Group-IB). Unit Intelijen Ancaman Group-IB dapat mengonfirmasi bahwa, sejak muncul pada bulan September 2023, kelompok ini telah menargetkan lebih dari 20 situs perjudian, pemerintahan, ritel, dan perjalanan di Australia, Tiongkok, India, india, Filipina, Korea Selatan, Thailand, dan Brasil. GambleForce menggunakan serangkaian teknik dasar namun sangat efektif, termasuk injeksi SQL dan eksploitasi sistem manajemen konten (CMS) situs web yang rentan untuk mencuri informasi sensitif, seperti kredensial pengguna. Nama GambleForce diciptakan karena target awal grup tersebut adalah industri perjudian.
Server komando dan kontrol (CnC) GambleForce, yang ditemukan oleh tim intelijen Ancaman Group-IB, telah dihapus oleh Tim Tanggap Darurat Komputer (CERT-GIB) perusahaan tersebut. Selain itu, Group-IB telah mengeluarkan pemberitahuan untuk para korban yang teridentifikasi.
CnC GambleForce pertama kali ditemukan pada September 2023. Server menampung alat-alat geng, seperti dirsearch, redis-rogue-getshell, Tinyproxy, dan sqlmap. Yang terakhir adalah alat pentesting sumber terbuka populer yang dirancang untuk mengidentifikasi server database yang rentan terhadap injeksi SQL dan mengeksploitasinya. Pelaku ancaman menyuntikkan kode SQL berbahaya ke halaman web publik, yang memungkinkan mereka melewati autentikasi default dan mengakses data sensitif.
Khususnya, geng ini hanya mengandalkan alat sumber terbuka yang tersedia untuk umum untuk akses awal, pengintaian, dan penyelundupan data. GambleForce menggunakan kerangka pentesting populer lainnya, Cobalt Strike. Versi Cobalt Strike yang ditemukan di server geng menggunakan perintah dalam bahasa Mandarin. Namun, fakta ini saja tidak cukup untuk menjelaskan asal usul kelompok tersebut.
Menurut pakar Intelijen Ancaman Group-IB, antara September 2023 dan Desember 2023, GambleForce menargetkan 24 organisasi di 8 negara. Geng tersebut berhasil menyusupi 6 situs web dari Australia (travel), Indonesia (travel, retail), Filipina (pemerintah), dan Korea Selatan (perjudian).
Gambar 1. Distribusi target GambleForce menurut industri dan negara. Sumber: Intelijen Ancaman Grup-IB
Dalam beberapa serangan, GambleForce berhenti pada tahap pengintaian, gagal mengunduh data. Dalam enam serangan, pelaku ancaman berhasil mendapatkan database pengguna yang berisi login, kata sandi hash, serta daftar tabel utama dari database yang dapat diakses. Di hampir semua serangan yang diketahui, GambleForce menyalahgunakan aplikasi publik milik korban dengan mengeksploitasi injeksi SQL. Dalam satu serangan di Brasil, penyerang mengeksploitasi CVE-2023-23752, sebuah kerentanan di CMS Joomla yang memungkinkan pelaku ancaman melewati batasan keamanan. Dalam serangan lainnya, pelaku ancaman berhasil mengambil data dari permintaan yang dikirimkan melalui formulir kontak situs web.
Daripada mencari data spesifik, pelaku ancaman mencoba untuk menyaring setiap informasi yang mungkin ada dalam database yang ditargetkan, seperti kredensial pengguna yang di-hash dan teks biasa. Unit intelijen Ancaman Group-IB belum mengamati bagaimana GambleForce mengeksploitasi informasi yang dicuri dan terus melacak grup tersebut.
“Injeksi web adalah salah satu vektor serangan tertua dan terpopuler,” kata Nikita Rostovcev, Analis Senior di Tim Riset Ancaman Persisten Tingkat Lanjut, Group-IB. “Alasannya adalah terkadang pengembang mengabaikan pentingnya keamanan input dan validasi data. Praktik pengkodean yang tidak aman, pengaturan database yang salah, dan perangkat lunak yang ketinggalan jaman menciptakan lingkungan yang subur untuk serangan injeksi SQL pada aplikasi web.”