Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • Ancaman Siber Baru yang Merusak Server Windows
  • Sektor Bisnis

Ancaman Siber Baru yang Merusak Server Windows

4 min read
Ancaman Siber Baru yang Merusak Server Windows

Credit image: Pixabay

Ancaman Siber Baru yang Merusak Server Windows – Para peneliti dari ESET telah mengungkap keberadaan aktor ancaman siber baru yang diberi nama GhostRedirector.

Kelompok ini bertanggung jawab atas serangkaian serangan yang telah mengkompromikan setidaknya 65 server Windows di seluruh dunia.

Dengan korban utama berlokasi di Brasil, Thailand, dan Vietnam. Serangan ini tidak terbatas pada satu sektor tertentu, melainkan menyasar beragam industri, termasuk asuransi, kesehatan, ritel, transportasi, teknologi, dan pendidikan.

Baca juga: Warlock Fokus Incar Server Sharepoint

Rungan dan Gamshen

GhostRedirector menggunakan dua alat kustom yang dikembangkan sendiri untuk melancarkan aksinya:

Rungan

Ini adalah backdoor pasif yang dikembangkan menggunakan C++. Fungsinya memungkinkan penyerang untuk mengeksekusi perintah dari jarak jauh di server korban. Rungan beroperasi dengan cara yang licik, menyalahgunakan HTTP Server API untuk mendaftarkan URL khusus yang digunakan sebagai jalur komunikasi rahasia, di luar pantauan server web IIS yang normal.

Gamshen

Alat ini adalah modul berbahaya untuk Internet Information Services (IIS), perangkat lunak server web milik Microsoft. Gamshen dirancang khusus untuk melakukan penipuan SEO (SEO fraud as-a-service).

Tujuannya adalah untuk memanipulasi peringkat situs web di mesin pencari Google. Caranya, Gamshen akan mencegat permintaan dari Googlebot (perayap web Google) dan menyuntikkan konten yang mempromosikan situs web pihak ketiga, seperti situs perjudian.

Yang menarik, Gamshen tidak memengaruhi tampilan situs web untuk pengunjung biasa, sehingga korban sering kali tidak menyadari bahwa situs mereka telah disalahgunakan.

Selain dua alat utama ini, GhostRedirector juga memanfaatkan eksploitasi yang sudah dikenal publik seperti EfsPotato dan BadPotato untuk eskalasi hak istimewa, memungkinkan mereka membuat akun administrator palsu di server yang disusupi.

Hal ini memberikan mereka akses jangka panjang dan cadangan jika alat utama mereka terdeteksi dan dihapus.

Baca juga: Server Lokal vs Cloud Mana yang Lebih Aman

Bagaimana GhostRedirector Mendapatkan Akses?

Ancaman Siber Baru yang Merusak Server Windows
Credit image: Freepix


Berdasarkan telemetri ESET, tim peneliti meyakini bahwa GhostRedirector mendapatkan akses awal ke server korban dengan mengeksploitasi kerentanan, kemungkinan besar melalui SQL Injection.

Setelah berhasil masuk, mereka menggunakan alat seperti PowerShell untuk mengunduh serangkaian malware dari server staging yang sama, yaitu 868id[.]com. Alat-alat ini mencakup webshells, backdoor Rungan, dan trojan IIS Gamshen.

Penyebaran Webshells: GhostRedirector juga menyebarkan beberapa webshells yang disematkan dalam alat mereka, memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh di server.

Penggunaan Alat Privilege Escalation: Untuk mendapatkan kontrol penuh, mereka menggunakan alat yang dikembangkan khusus berdasarkan eksploitasi publik untuk membuat pengguna administrator baru.

Ciri-Ciri Serangan dan Keterkaitan dengan Tiongkok

Para peneliti mengaitkan GhostRedirector dengan aktor ancaman yang berafiliasi dengan Tiongkok dengan keyakinan tingkat sedang, berdasarkan beberapa bukti, termasuk:

  • Adanya string karakter berbahasa Tiongkok yang tertanam dalam kode malware.
  • Penggunaan sertifikat penandatanganan kode yang dikeluarkan untuk perusahaan Tiongkok.
  • Penggunaan kata sandi untuk akun administrator yang berisi kata “huang” (kuning dalam bahasa Tiongkok).

Meskipun demikian, ESET tidak menemukan kaitan langsung antara GhostRedirector dan kelompok penipuan SEO berafiliasi Tiongkok lainnya yang dikenal, seperti DragonRank. Hal ini menunjukkan bahwa GhostRedirector kemungkinan adalah kelompok baru yang beroperasi secara terpisah.

Baca juga: Keylogger Curi Kredensial di Server Microsoft Exchange

Dampak dan Cara Kerja Penipuan SEO

Tujuan akhir dari serangan GhostRedirector adalah untuk mendapatkan keuntungan finansial melalui skema penipuan SEO. Dengan memanipulasi peringkat pencarian, mereka secara efektif mengarahkan lalu lintas internet dari situs web yang sah dan bereputasi baik ke situs web pihak ketiga yang mereka promosikan, dalam kasus ini, sebuah aplikasi perjudian.

Skema ini bekerja dengan memanfaatkan alur kerja IIS. Gamshen, sebagai modul IIS yang berbahaya, akan memantau setiap permintaan yang masuk.

Ketika mendeteksi permintaan dari Googlebot, ia akan mengubah respons dari server yang sah dengan konten yang diperoleh dari server Command & Control (C&C) mereka sendiri.

Konten yang disuntikkan ini kemungkinan besar berisi teknik SEO curang, seperti menyisipkan backlink berbahaya atau keyword stuffing, yang pada akhirnya menipu Google untuk mengasosiasikan dan menaikkan peringkat situs web perjudian tersebut.

Meskipun tindakan ini tidak secara langsung membahayakan pengunjung situs web, partisipasi tanpa disadari dalam skema penipuan ini dapat merusak reputasi situs web korban.

Kesimpulan

GhostRedirector adalah pengingat bahwa lanskap ancaman siber terus berkembang. Kelompok ini menunjukkan ketahanan operasional dengan menyebarkan berbagai alat akses jarak jauh dan membuat akun pengguna palsu untuk mempertahankan akses jangka panjang.

Hal ini menggarisbawahi pentingnya pemantauan keamanan yang ketat dan respons yang cepat untuk melindungi infrastruktur dari serangan canggih seperti ini.

 

 

 

Baca artikel lainnya: 

  • Lebih dari 84.000 Server Email Roundcube Berisiko Diserang
  • Serangan ESXiArgs pada Server VMware 101
  • Mengurai Serangan Ransomware pada Server VMware
  • ESET Tangkap Basah Malware di Software Server Web Microsoft
  • Geger Peretasan Server Microsoft Exchange, Ini Faktanya
  • Sekelumit Tentang Peretasan Server Microsoft Exchange
  • Ribuan Server Vmware Rentan Hacker Aktif Berburu Peluang
  • Hati-hati Main CS 1.6, 39 Persen Server Tercemar Trojan
  • Trojan Perbankan Serang Server CDN Facebook
  • Ribuan Server MongoDB Diserang Ransomware

 

 

 

Sumber berita:

 

Prosperita IT News

Post navigation

Previous Pentingnya Enkripsi Data untuk Melindungi Bisnis
Next Malvertising Canggih Manfaatkan Iklan Berbayar

Related Stories

Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker

October 2, 2025
Spionase Siber Tiongkok Incar “Titik Buta” Jaringan Internasional Spionase Siber Tiongkok Incar "Titik Buta" Jaringan
4 min read
  • Sektor Bisnis

Spionase Siber Tiongkok Incar “Titik Buta” Jaringan Internasional

October 1, 2025
Serangan Phising Terfavorit 2025 Serangan Phising Terfavorit 2025
6 min read
  • Sektor Bisnis
  • Sektor Personal

Serangan Phising Terfavorit 2025

September 30, 2025

Recent Posts

  • Panduan Lengkap Memblokir Website Berbahaya dan Gangguan Digital
  • Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker
  • Spionase Siber Tiongkok Incar “Titik Buta” Jaringan Internasional
  • Hati-hati Aplikasi AI Palsu Sebar Malware Secara Global!
  • Di Balik Godaan Cheat Gratis Roblox
  • Serangan Phising Terfavorit 2025
  • Installer Palsu Microsoft Teams Sebar Malware Berbahaya
  • Pemerintah Asia Tenggara Korban Hacker Tiongkok
  • SpamGPT Platform Berbasis AI Merevolusi Serangan Phising
  • Alasan Kenapa Pabrik Mobil Menjadi Target Empuk Peretas

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Panduan Lengkap Memblokir Website Berbahaya dan Gangguan Digital Panduan Lengkap Memblokir Website Berbahaya dan Gangguan Digital
5 min read
  • Sektor Personal
  • Tips & Tricks

Panduan Lengkap Memblokir Website Berbahaya dan Gangguan Digital

October 2, 2025
Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker

October 2, 2025
Spionase Siber Tiongkok Incar “Titik Buta” Jaringan Internasional Spionase Siber Tiongkok Incar "Titik Buta" Jaringan
4 min read
  • Sektor Bisnis

Spionase Siber Tiongkok Incar “Titik Buta” Jaringan Internasional

October 1, 2025
Hati-hati Aplikasi AI Palsu Sebar Malware Secara Global! Hati-hati Aplikasi AI Palsu Sebar Malware Secara Global!
3 min read
  • Mobile Security
  • Teknologi

Hati-hati Aplikasi AI Palsu Sebar Malware Secara Global!

October 1, 2025

Copyright © All rights reserved. | DarkNews by AF themes.