Skip to content

PROSPERITA IT NEWS

Connect with Us

Social menu is not set. You need to create menu and assign it to Social Menu on Menu Settings.

Tags

2FA anti bocor data anti maling antivirus Andal antivirus andalan Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super antivirus superb Antivirus Super Ringan anti virus super ringan Antivirus Tangguh Antivirus Terbaik Antivirus Top BacaPikirshare BacaPikriShare Cyber security Data Security Edukasi KOnsumen Edukasi Siber ESET ESET deteksi Ransomware ESET Indonesia ESET PArental Control GreyCortex Keamanan Komputer Malware News prosperita Parental Control phising Prosperita Ransomware Riset ESET Super Ringan tips Tips & Trik Trojan vimanamail

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks
  • Uncategorized
  • Home
  • Home
  • Sektor Bisnis
  • Ancaman Siber Baru yang Merusak Server Windows
  • Sektor Bisnis

Ancaman Siber Baru yang Merusak Server Windows

4 min read
Ancaman Siber Baru yang Merusak Server Windows

Credit image: Pixabay

Ancaman Siber Baru yang Merusak Server Windows – Para peneliti dari ESET telah mengungkap keberadaan aktor ancaman siber baru yang diberi nama GhostRedirector.

Kelompok ini bertanggung jawab atas serangkaian serangan yang telah mengkompromikan setidaknya 65 server Windows di seluruh dunia.

Dengan korban utama berlokasi di Brasil, Thailand, dan Vietnam. Serangan ini tidak terbatas pada satu sektor tertentu, melainkan menyasar beragam industri, termasuk asuransi, kesehatan, ritel, transportasi, teknologi, dan pendidikan.

Baca juga: Warlock Fokus Incar Server Sharepoint

Rungan dan Gamshen

GhostRedirector menggunakan dua alat kustom yang dikembangkan sendiri untuk melancarkan aksinya:

Rungan

Ini adalah backdoor pasif yang dikembangkan menggunakan C++. Fungsinya memungkinkan penyerang untuk mengeksekusi perintah dari jarak jauh di server korban. Rungan beroperasi dengan cara yang licik, menyalahgunakan HTTP Server API untuk mendaftarkan URL khusus yang digunakan sebagai jalur komunikasi rahasia, di luar pantauan server web IIS yang normal.

Gamshen

Alat ini adalah modul berbahaya untuk Internet Information Services (IIS), perangkat lunak server web milik Microsoft. Gamshen dirancang khusus untuk melakukan penipuan SEO (SEO fraud as-a-service).

Tujuannya adalah untuk memanipulasi peringkat situs web di mesin pencari Google. Caranya, Gamshen akan mencegat permintaan dari Googlebot (perayap web Google) dan menyuntikkan konten yang mempromosikan situs web pihak ketiga, seperti situs perjudian.

Yang menarik, Gamshen tidak memengaruhi tampilan situs web untuk pengunjung biasa, sehingga korban sering kali tidak menyadari bahwa situs mereka telah disalahgunakan.

Selain dua alat utama ini, GhostRedirector juga memanfaatkan eksploitasi yang sudah dikenal publik seperti EfsPotato dan BadPotato untuk eskalasi hak istimewa, memungkinkan mereka membuat akun administrator palsu di server yang disusupi.

Hal ini memberikan mereka akses jangka panjang dan cadangan jika alat utama mereka terdeteksi dan dihapus.

Baca juga: Server Lokal vs Cloud Mana yang Lebih Aman

Bagaimana GhostRedirector Mendapatkan Akses?

Ancaman Siber Baru yang Merusak Server Windows
Credit image: Freepix


Berdasarkan telemetri ESET, tim peneliti meyakini bahwa GhostRedirector mendapatkan akses awal ke server korban dengan mengeksploitasi kerentanan, kemungkinan besar melalui SQL Injection.

Setelah berhasil masuk, mereka menggunakan alat seperti PowerShell untuk mengunduh serangkaian malware dari server staging yang sama, yaitu 868id[.]com. Alat-alat ini mencakup webshells, backdoor Rungan, dan trojan IIS Gamshen.

Penyebaran Webshells: GhostRedirector juga menyebarkan beberapa webshells yang disematkan dalam alat mereka, memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh di server.

Penggunaan Alat Privilege Escalation: Untuk mendapatkan kontrol penuh, mereka menggunakan alat yang dikembangkan khusus berdasarkan eksploitasi publik untuk membuat pengguna administrator baru.

Ciri-Ciri Serangan dan Keterkaitan dengan Tiongkok

Para peneliti mengaitkan GhostRedirector dengan aktor ancaman yang berafiliasi dengan Tiongkok dengan keyakinan tingkat sedang, berdasarkan beberapa bukti, termasuk:

  • Adanya string karakter berbahasa Tiongkok yang tertanam dalam kode malware.
  • Penggunaan sertifikat penandatanganan kode yang dikeluarkan untuk perusahaan Tiongkok.
  • Penggunaan kata sandi untuk akun administrator yang berisi kata “huang” (kuning dalam bahasa Tiongkok).

Meskipun demikian, ESET tidak menemukan kaitan langsung antara GhostRedirector dan kelompok penipuan SEO berafiliasi Tiongkok lainnya yang dikenal, seperti DragonRank. Hal ini menunjukkan bahwa GhostRedirector kemungkinan adalah kelompok baru yang beroperasi secara terpisah.

Baca juga: Keylogger Curi Kredensial di Server Microsoft Exchange

Dampak dan Cara Kerja Penipuan SEO

Tujuan akhir dari serangan GhostRedirector adalah untuk mendapatkan keuntungan finansial melalui skema penipuan SEO. Dengan memanipulasi peringkat pencarian, mereka secara efektif mengarahkan lalu lintas internet dari situs web yang sah dan bereputasi baik ke situs web pihak ketiga yang mereka promosikan, dalam kasus ini, sebuah aplikasi perjudian.

Skema ini bekerja dengan memanfaatkan alur kerja IIS. Gamshen, sebagai modul IIS yang berbahaya, akan memantau setiap permintaan yang masuk.

Ketika mendeteksi permintaan dari Googlebot, ia akan mengubah respons dari server yang sah dengan konten yang diperoleh dari server Command & Control (C&C) mereka sendiri.

Konten yang disuntikkan ini kemungkinan besar berisi teknik SEO curang, seperti menyisipkan backlink berbahaya atau keyword stuffing, yang pada akhirnya menipu Google untuk mengasosiasikan dan menaikkan peringkat situs web perjudian tersebut.

Meskipun tindakan ini tidak secara langsung membahayakan pengunjung situs web, partisipasi tanpa disadari dalam skema penipuan ini dapat merusak reputasi situs web korban.

Kesimpulan

GhostRedirector adalah pengingat bahwa lanskap ancaman siber terus berkembang. Kelompok ini menunjukkan ketahanan operasional dengan menyebarkan berbagai alat akses jarak jauh dan membuat akun pengguna palsu untuk mempertahankan akses jangka panjang.

Hal ini menggarisbawahi pentingnya pemantauan keamanan yang ketat dan respons yang cepat untuk melindungi infrastruktur dari serangan canggih seperti ini.

 

 

 

Baca artikel lainnya: 

  • Lebih dari 84.000 Server Email Roundcube Berisiko Diserang
  • Serangan ESXiArgs pada Server VMware 101
  • Mengurai Serangan Ransomware pada Server VMware
  • ESET Tangkap Basah Malware di Software Server Web Microsoft
  • Geger Peretasan Server Microsoft Exchange, Ini Faktanya
  • Sekelumit Tentang Peretasan Server Microsoft Exchange
  • Ribuan Server Vmware Rentan Hacker Aktif Berburu Peluang
  • Hati-hati Main CS 1.6, 39 Persen Server Tercemar Trojan
  • Trojan Perbankan Serang Server CDN Facebook
  • Ribuan Server MongoDB Diserang Ransomware

 

 

 

Sumber berita:

 

Prosperita IT News

Post navigation

Previous Pentingnya Enkripsi Data untuk Melindungi Bisnis
Next Malvertising Canggih Manfaatkan Iklan Berbayar

artikel terkini

Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun

Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun

July 10, 2026
Operasi Global Menargetkan Puluhan Ribu Organisasi Operasi Global Menargetkan Puluhan Ribu Organisasi

Operasi Global Menargetkan Puluhan Ribu Organisasi

July 10, 2026
Ransomware JadePuffer Era Ransomware AI Ransomware JadePuffer Era Ransomware AI

Ransomware JadePuffer Era Ransomware AI

July 10, 2026
Kualitas Email Phising Terus Meningkat Kualitas Email Phising Terus Meningkat

Kualitas Email Phising Terus Meningkat

July 10, 2026
IoT dan Risiko Siber IoT dan Risiko Siber

IoT dan Risiko Siber

July 9, 2026
FortiBleed Gerbang Baru Serangan Ransomware FortiBleed Gerbang Baru Serangan Ransomware

FortiBleed Gerbang Baru Serangan Ransomware

July 7, 2026
Update yang Berubah Menjadi Malware Update yang Berubah Menjadi Malware

Update yang Berubah Menjadi Malware

July 7, 2026
Kejahatan Siber Memasuki Era Baru Kejahatan Siber Memasuki Era Baru

Kejahatan Siber Memasuki Era Baru

July 3, 2026

Lainnya

Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun
4 min read
  • Ransomware

Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun

July 10, 2026
Operasi Global Menargetkan Puluhan Ribu Organisasi Operasi Global Menargetkan Puluhan Ribu Organisasi
4 min read
  • Sektor Bisnis
  • Sektor Personal

Operasi Global Menargetkan Puluhan Ribu Organisasi

July 10, 2026
Ransomware JadePuffer Era Ransomware AI Ransomware JadePuffer Era Ransomware AI
5 min read
  • Ransomware
  • Teknologi

Ransomware JadePuffer Era Ransomware AI

July 10, 2026
Kualitas Email Phising Terus Meningkat Kualitas Email Phising Terus Meningkat
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Kualitas Email Phising Terus Meningkat

July 10, 2026
PROSPERITA IT News | DarkNews by AF themes.