Logo Bloomberg Technoz

“Ketika penyerang memperoleh akses ke FTP XAMPP menggunakan akun standar dan kata sandi bawaan yang lemah, langkah selanjutnya yang umum adalah mengunggah web shell ke Webroot,” kata Check Point.

Selanjutnya, peneliti mengatakan hacker dapat mengunggah script berbahaya web shell melalui cara lain, seperti server MySQL yang menyebabkan kesalahan konfigurasi atau panel phpMyAdmin. Rantai infeksi bakal berlanjut dengan pengunduh yang mengambil serangkaian skrip bot IRC dan modul brute force.

“Aktivitas malware dimulai seusai penundaan 10-400 detik, meluncurkan sampai 95 utas (thread) brute-force pada arsitektur x86_64, memindai rentang IP publik secara acak, sambil melewati jaringan pribadi, rentang layanan komputasi awan Amazon Web Services (AWS), dan jaringan pemerintah Amerika Serikat (AS),” kata Check Point.

Mereka menyatakan dalam kampanye terbaru, aktivitas GoBruteforcer didorong oleh penggunaan kembali cuplikan konfigurasi server umum yang dihasilkan oleh model bahasa besar (large language model/LLM). Hal ini menyebabkan pengulangan nama pengguna bawaan yang lemah dan mudah diprediksi seperti appuser, myuser, dan operator.

Menurut para peneliti, sejumlah nama pengguna itu kerap muncul dalam instruksi Docker dan DevOps yang dihasilkan oleh AI, sehingga membuat mereka percaya konfigurasi tersebut ditambahkan ke sistem dunia nyata. Serta, menciptakan kerentanan terhadap serangan penyebaran kata sandi.

Lanjut peneliti, tren kedua yang memicu kampanye botnet baru-baru ini adalah tumpukan server usang seperti XAMPP, yang terus dikirimkan dengan kredensial bawaan dan layanan FTP terbuka. Implementasi ini mengekspos direktori Webroot yang rentan, memungkinkan peretas untuk menyebarkan web shell.

Sementara itu, laporan Check Point menyoroti sebuah kampanye di mana sebuah host yang disusupi diinfeksi dengan alat pemindai dompet TRON yang melakukan pemindaian di seluruh TRON dan jaringan blockchain Binance Smart Chain (BSC). Para penyerang memakai sebuah berkas yang berisikan sekitar 23.000 alamat TRON, menargetkan alamat-alamat tersebut dengan utilitas otomatis untuk mengidentifikasi dan menguras dompet dengan saldo bukan nol.

Peneliti menyarankan, admin yang berupaya melindungi diri dari GoBruteforcer sebaiknya menghindari penggunaan panduan penyebaran yang dihasilkan AI dan mengandalkan nama pengguna bukan bawaan dengan kata sandi yang kuat dan unik. Disarankan juga untuk memeriksa FTP, phpMyAdmin, MySQL, dan PostgreSQL guna layanan yang terekspos, dan mengganti tumpukan perangkat lunak usang seperti XAMPP dengan alternatif yang lebih aman.

(far/wep)

TAG

GoBruteforcerMalware botnet GoBruteforcerMalware BerbahayaMalwarePeretasanHackerGoBrut
No more pages
← Prev article

Artikel Terkait

Baca Juga

Lainnya

Pekerja di depan layar indeks harga saham gabungan (IHSG) di Bursa Efek Indonesia (BEI), Senin (8/9/2025). (Bloomberg Technoz/Andrean Kristianto)

NINE Rencanakan Rights Issue untuk Integrasi Tambang Mongolia

Market | 16 menit yang lalu
Sebuah derek membongkar pengiriman batu bara antrasit./Bloomberg-Vincent Mundy

Cek Ramalan Harga Batu Bara Minggu Depan Usai Naik Pekan Ini

Energi | 21 menit yang lalu
Perkebunan kelapa sawit di Kotawaringin Barat./Bloomberg-Muhammad Fadli

Harga CPO Naik 1% Lebih Pekan Ini, Cek Ramalan Buat Minggu Depan

Sektor Riil | 40 menit yang lalu
Kevin Hassett berbicara kepada media di luar Gedung Putih pada Mei 2025. (Fotografer: Stefani Reynolds/Bloomberg)

Siasat Baru AS Jika MA Nyatakan Tarif Trump Ilegal

Global | 46 menit yang lalu
Emas batangan. (Scott Eells/Bloomberg)

Harga Emas Naik Dekati Rekor Tertinggi, Pilih Jual atau Beli?

Market | 1 jam yang lalu
Bloomberg Businessweek Indonesia

Populer

Foto

Video

Infografis


Z-Zone

Z-Zone