Group-IB ผู้สร้างเทคโนโลยีความปลอดภัยทางไซเบอร์ชั้นนำในการสืบสวน ป้องกัน และต่อสู้กับอาชญากรรมดิจิทัล ได้ค้นพบผู้คุกคามที่ไม่รู้จักก่อนหน้านี้ชื่อรหัสว่า GambleForce (ติดตามภายใต้ชื่อ EagleStrike GambleForce ใน Threat Intelligence Platform ของ Group-IB)
หน่วยข่าวกรองภัยคุกคามของ Group-IB สามารถยืนยันได้ว่านับตั้งแต่เกิดขึ้นในเดือนกันยายน 2566 กลุ่มได้กำหนดเป้าหมายเว็บไซต์การพนัน รัฐบาล การค้าปลีกและการท่องเที่ยวมากกว่า 20 แห่งในออสเตรเลีย จีน อินเดีย อินโดนีเซีย ฟิลิปปินส์ เกาหลีใต้ ไทย และบราซิล
GambleForce ใช้ชุดเทคนิคพื้นฐานแต่มีประสิทธิภาพมาก รวมถึงการแทรก SQL และการใช้ประโยชน์จากระบบจัดการเนื้อหาเว็บไซต์ที่มีช่องโหว่ (CMS) เพื่อขโมยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองผู้ใช้ ชื่อ GambleForce ได้รับการประกาศเกียรติคุณเนื่องจากเป้าหมายเริ่มต้นของกลุ่มมาจากอุตสาหกรรมการพนัน
CnC ของ GambleForce ถูกค้นพบครั้งแรกในเดือนกันยายน 2023 เซิร์ฟเวอร์ดังกล่าวเป็นที่ตั้งของเครื่องมือของแก๊ง เช่น dirsearch, redis-rogue-getshell, Tinyproxy และ sqlmap อย่างหลังเป็นเครื่องมือทดสอบโอเพ่นซอร์สยอดนิยมที่ออกแบบมาเพื่อระบุเซิร์ฟเวอร์ฐานข้อมูลที่เสี่ยงต่อการถูกแทรก SQL
และใช้ประโยชน์จากเซิร์ฟเวอร์เหล่านั้น ผู้คุกคามแทรกโค้ด SQL ที่เป็นอันตรายลงในหน้าเว็บที่เปิดสู่สาธารณะ ซึ่งช่วยให้พวกเขาสามารถข้ามการรับรองความถูกต้องเริ่มต้นและเข้าถึงข้อมูลที่ละเอียดอ่อนได้
โดยเฉพาะอย่างยิ่ง กลุ่มนี้อาศัยเครื่องมือโอเพ่นซอร์สที่เปิดเผยต่อสาธารณะโดยเฉพาะสำหรับการเข้าถึงเบื้องต้น การลาดตระเวน และการขโมยข้อมูล GambleForce ใช้เฟรมเวิร์ก Pentesting ยอดนิยมอีกตัวหนึ่งคือ Cobalt Strike เวอร์ชันของ Cobalt Strike ที่ค้นพบบนเซิร์ฟเวอร์ของแก๊งใช้คำสั่งเป็นภาษาจีน อย่างไรก็ตาม ข้อเท็จจริงนี้เพียงอย่างเดียวไม่เพียงพอที่จะระบุแหล่งที่มาของกลุ่มได้
จากข้อมูลของผู้เชี่ยวชาญด้าน Threat Intelligence ของ Group-IB ระหว่างเดือนกันยายน 2023 ถึงธันวาคม 2023 GambleForce กำหนดเป้าหมายไปที่ 24 องค์กรใน 8 ประเทศ แก๊งนี้สามารถโจมตีเว็บไซต์ 6 แห่งจากออสเตรเลีย (การเดินทาง) อินโดนีเซีย (การเดินทาง การค้าปลีก) ฟิลิปปินส์ (รัฐบาล) และเกาหลีใต้ (การพนัน) ได้สำเร็จ
ในการโจมตีบางครั้ง GambleForce หยุดที่ขั้นตอนการลาดตระเวน และไม่สามารถดาวน์โหลดข้อมูลได้ ในการโจมตี 6 ครั้ง ผู้คุกคามจัดการเพื่อรับฐานข้อมูลผู้ใช้ที่มีการเข้าสู่ระบบ รหัสผ่านที่แฮช รวมถึงรายการตารางหลักจากฐานข้อมูลที่สามารถเข้าถึงได้ ในการโจมตีที่รู้จักเกือบทั้งหมด GambleForce ละเมิดแอปพลิเคชันที่เปิดเผยต่อสาธารณะของเหยื่อโดยใช้ประโยชน์จากการแทรก SQL ในการโจมตีครั้งหนึ่งที่บราซิล
ผู้โจมตีใช้ประโยชน์จาก CVE-2023-23752 ซึ่งเป็นช่องโหว่ใน Joomla CMS ที่ช่วยให้ผู้คุกคามสามารถข้ามข้อจำกัดด้านความปลอดภัยได้ ในการโจมตีอีกครั้ง ผู้ก่อภัยคุกคามสามารถขโมยข้อมูลจากคำขอที่ส่งผ่านแบบฟอร์มติดต่อของเว็บไซต์
แทนที่จะค้นหาข้อมูลเฉพาะ ผู้ดำเนินการภัยคุกคามพยายามที่จะขโมยข้อมูลทุกส่วนที่เป็นไปได้ภายในฐานข้อมูลเป้าหมาย เช่น ข้อมูลรับรองผู้ใช้ที่แฮชและข้อความธรรมดา หน่วยข่าวกรองภัยคุกคามของ Group-IB ไม่ได้สังเกตว่า GambleForce ใช้ประโยชน์จากข้อมูลที่ถูกขโมยได้อย่างไรและยังคงติดตามกลุ่มต่อไป
นิกิตา รอสตอฟเซฟ นักวิเคราะห์อาวุโสของทีมวิจัยภัยคุกคามขั้นสูงแบบต่อเนื่อง Group-IB กล่าวว่า การแทรกเว็บเป็นหนึ่งในแนวทางการโจมตีที่เก่าแก่ที่สุดและได้รับความนิยมมากที่สุด และเหตุผลก็คือบางครั้งนักพัฒนามองข้ามความสำคัญของความปลอดภัยของอินพุตและการตรวจสอบความถูกต้องของข้อมูล
“การเขียนโค้ดที่ไม่ปลอดภัย การตั้งค่าฐานข้อมูลไม่ถูกต้อง และซอฟต์แวร์ที่ล้าสมัยจะสร้างสภาพแวดล้อมที่สมบูรณ์สำหรับการโจมตีแบบแทรก SQL บนเว็บแอปพลิเคชัน”
