Credit image: Pixabay
Ancaman Siber Baru yang Merusak Server Windows – Para peneliti dari ESET telah mengungkap keberadaan aktor ancaman siber baru yang diberi nama GhostRedirector.
Kelompok ini bertanggung jawab atas serangkaian serangan yang telah mengkompromikan setidaknya 65 server Windows di seluruh dunia.
Dengan korban utama berlokasi di Brasil, Thailand, dan Vietnam. Serangan ini tidak terbatas pada satu sektor tertentu, melainkan menyasar beragam industri, termasuk asuransi, kesehatan, ritel, transportasi, teknologi, dan pendidikan.
|
Baca juga: Warlock Fokus Incar Server Sharepoint |
Rungan dan Gamshen
GhostRedirector menggunakan dua alat kustom yang dikembangkan sendiri untuk melancarkan aksinya:
Rungan
Ini adalah backdoor pasif yang dikembangkan menggunakan C++. Fungsinya memungkinkan penyerang untuk mengeksekusi perintah dari jarak jauh di server korban. Rungan beroperasi dengan cara yang licik, menyalahgunakan HTTP Server API untuk mendaftarkan URL khusus yang digunakan sebagai jalur komunikasi rahasia, di luar pantauan server web IIS yang normal.
Gamshen
Alat ini adalah modul berbahaya untuk Internet Information Services (IIS), perangkat lunak server web milik Microsoft. Gamshen dirancang khusus untuk melakukan penipuan SEO (SEO fraud as-a-service).
Tujuannya adalah untuk memanipulasi peringkat situs web di mesin pencari Google. Caranya, Gamshen akan mencegat permintaan dari Googlebot (perayap web Google) dan menyuntikkan konten yang mempromosikan situs web pihak ketiga, seperti situs perjudian.
Yang menarik, Gamshen tidak memengaruhi tampilan situs web untuk pengunjung biasa, sehingga korban sering kali tidak menyadari bahwa situs mereka telah disalahgunakan.
Selain dua alat utama ini, GhostRedirector juga memanfaatkan eksploitasi yang sudah dikenal publik seperti EfsPotato dan BadPotato untuk eskalasi hak istimewa, memungkinkan mereka membuat akun administrator palsu di server yang disusupi.
Hal ini memberikan mereka akses jangka panjang dan cadangan jika alat utama mereka terdeteksi dan dihapus.
|
Baca juga: Server Lokal vs Cloud Mana yang Lebih Aman |
Bagaimana GhostRedirector Mendapatkan Akses?
Berdasarkan telemetri ESET, tim peneliti meyakini bahwa GhostRedirector mendapatkan akses awal ke server korban dengan mengeksploitasi kerentanan, kemungkinan besar melalui SQL Injection.
Setelah berhasil masuk, mereka menggunakan alat seperti PowerShell untuk mengunduh serangkaian malware dari server staging yang sama, yaitu 868id[.]com. Alat-alat ini mencakup webshells, backdoor Rungan, dan trojan IIS Gamshen.
Penyebaran Webshells: GhostRedirector juga menyebarkan beberapa webshells yang disematkan dalam alat mereka, memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh di server.
Penggunaan Alat Privilege Escalation: Untuk mendapatkan kontrol penuh, mereka menggunakan alat yang dikembangkan khusus berdasarkan eksploitasi publik untuk membuat pengguna administrator baru.
Ciri-Ciri Serangan dan Keterkaitan dengan Tiongkok
Para peneliti mengaitkan GhostRedirector dengan aktor ancaman yang berafiliasi dengan Tiongkok dengan keyakinan tingkat sedang, berdasarkan beberapa bukti, termasuk:
- Adanya string karakter berbahasa Tiongkok yang tertanam dalam kode malware.
- Penggunaan sertifikat penandatanganan kode yang dikeluarkan untuk perusahaan Tiongkok.
- Penggunaan kata sandi untuk akun administrator yang berisi kata “huang” (kuning dalam bahasa Tiongkok).
Meskipun demikian, ESET tidak menemukan kaitan langsung antara GhostRedirector dan kelompok penipuan SEO berafiliasi Tiongkok lainnya yang dikenal, seperti DragonRank. Hal ini menunjukkan bahwa GhostRedirector kemungkinan adalah kelompok baru yang beroperasi secara terpisah.
|
Baca juga: Keylogger Curi Kredensial di Server Microsoft Exchange |
Dampak dan Cara Kerja Penipuan SEO
Tujuan akhir dari serangan GhostRedirector adalah untuk mendapatkan keuntungan finansial melalui skema penipuan SEO. Dengan memanipulasi peringkat pencarian, mereka secara efektif mengarahkan lalu lintas internet dari situs web yang sah dan bereputasi baik ke situs web pihak ketiga yang mereka promosikan, dalam kasus ini, sebuah aplikasi perjudian.
Skema ini bekerja dengan memanfaatkan alur kerja IIS. Gamshen, sebagai modul IIS yang berbahaya, akan memantau setiap permintaan yang masuk.
Ketika mendeteksi permintaan dari Googlebot, ia akan mengubah respons dari server yang sah dengan konten yang diperoleh dari server Command & Control (C&C) mereka sendiri.
Konten yang disuntikkan ini kemungkinan besar berisi teknik SEO curang, seperti menyisipkan backlink berbahaya atau keyword stuffing, yang pada akhirnya menipu Google untuk mengasosiasikan dan menaikkan peringkat situs web perjudian tersebut.
Meskipun tindakan ini tidak secara langsung membahayakan pengunjung situs web, partisipasi tanpa disadari dalam skema penipuan ini dapat merusak reputasi situs web korban.
Kesimpulan
GhostRedirector adalah pengingat bahwa lanskap ancaman siber terus berkembang. Kelompok ini menunjukkan ketahanan operasional dengan menyebarkan berbagai alat akses jarak jauh dan membuat akun pengguna palsu untuk mempertahankan akses jangka panjang.
Hal ini menggarisbawahi pentingnya pemantauan keamanan yang ketat dan respons yang cepat untuk melindungi infrastruktur dari serangan canggih seperti ini.
Sumber berita:
