Pelaku ancaman secara terbuka mengiklankan akses ke situs yang diretas sebagai bagian dari ekonomi bawah tanah. Salah satu produk yang paling menjanjikan adalah kredensial cPanel yang disusupi. Mereka dijual dalam jumlah ribuan grup obrolan palsu dengan harga tingkat komoditas dan dipasarkan sebagai infrastruktur plug-and-play phishing dan kampanye penipuan.
Dalam penelitian baru, peneliti keamanan Flare menganalisis aktivitas di seluruh kelompok penipuan yang dipantau selama periode tujuh hari, menunjukkan ekosistem terstruktur yang beroperasi dalam skala besar.
Kami menganalisis lebih dari 200.000 postingan merujuk pada akses cPanel, dan kami menjelaskan bagaimana cPanel telah menjadi komoditas populer, mengapa cPanel diinginkan oleh pelaku ancaman, dan bagaimana cPanel cocok dengan keseluruhan lanskap ancaman.
cPanel – Salah Satu Kunci untuk Mengontrol Website
cPanel adalah salah satu panel kontrol web hosting berbasis Linux yang paling banyak digunakan di dunia. Ini menyediakan lapisan manajemen terstruktur di atas layanan sistem standar. Ini bertindak sebagai antarmuka orkestrasi dan otomatisasi untuk mengelola akun hosting, domain, layanan email, database, zona DNS, sertifikat SSL, dan sistem file.
Menurut Shodan, ada lebih dari 1,5 juta server yang terhubung ke internet dengan perangkat lunak cPanel.
Peta panas di bawah menggambarkan bagaimana cPanel populer terutama di AS (lebih dari 1 juta hasil).
cPanel yang Disusupi Memungkinkan Serangan Skala Luas
Bayangkan Anda memiliki situs web, baik untuk penggunaan pribadi, menjalankan bisnis kecil, atau salah satu dari banyak aset perusahaan Anda yang berhubungan dengan web. Setelah pelaku ancaman mendapatkan kredensial yang sah untuk mengakses lapisan manajemen, hal ini memungkinkan berbagai kemampuan:
-
Menyebarkan pintu belakang untuk ketekunan
-
Membuat pengguna admin baru untuk ketekunan
-
Menyebarkan malware
-
Mendapatkan akses root di server
-
Menyebarkan kit phishing sebagai subdomain dengan nama domain yang sah
-
Membuat akun SMTP di bawah domain untuk menyebarkan kampanye phishing atau spam
-
Mencuri dan mengambil data berharga (PII, rahasia) dari database
Dalam lingkungan hosting bersama, satu cPanel dapat mengaktifkan akses ke lusinan domain, dan di tingkat organisasi, cPanel dapat membahayakan seluruh keberadaan web.
Karena penyerang menggunakan kredensial yang valid, kontrol keamanan tradisional mungkin tidak langsung menandai aktivitas atau melewatkannya sama sekali. Penyalahgunaan mungkin dimulai dengan email keluar yang diam-diam atau unggahan file tersembunyi sebelum eksploitasi yang terlihat dapat dideteksi.
Deteksi Kredensial yang Disusupi secara Real Time
Flare memantau saluran Telegram bawah tanah tempat pelaku ancaman menjual kredensial cPanel yang disusupi, akses SMTP, dan infrastruktur hosting.
Dapatkan peringatan ketika domain, akun hosting, atau kredensial Anda muncul dalam penjualan massal sebelum dieksploitasi.
cPanel Disusupi dalam Banyak Cara
Secara historis, pelaku ancaman mendapatkan akses ke lingkungan cPanel melalui kombinasi penyalahgunaan kredensial, penyusupan aplikasi web, dan eksploitasi tingkat server.
Vektor yang paling umum telah dicuri atau kredensialnya dipaksakan secara brutal. Penyerang memanfaatkan kampanye phishing, penggunaan kembali kata sandi dari pelanggaran data, isian kredensialdan serangan brute force otomatis terhadap portal login cPanel yang terbuka.
Kesalahan konfigurasi seperti mengekspos file sensitif (config.yaml, .env) ke internet, kata sandi yang lemah, atau tidak adanya otentikasi multi-faktor biasanya menjadikan ini titik masuk yang menarik.
Jalur lain yang sering dilakukan adalah mengeksploitasi situs web rentan yang dihosting di server yang sama. Platform CMS yang ketinggalan jaman seperti WordPress, Joomla, atau Drupal, serta plugin dan tema yang rentan, memungkinkan penyerang mengunggah shell web atau meningkatkan hak istimewa.
Begitu berada di dalam akun hosting, mereka mungkin berputar ke samping, mengambil kredensial yang disimpan, mengakses file konfigurasi (seperti wp-config.php), atau mencoba peningkatan hak istimewa untuk mendapatkan akses cPanel yang lebih luas.
Seiring berjalannya waktu, otomatisasi telah memperkuat teknik ini, dengan botnet yang terus memindai panel login yang terekspos, CVE yang diketahui, dan kesalahan konfigurasi untuk memonetisasi akses melalui spam, infrastruktur phishingperusakan, atau dijual kembali di pasar bawah tanah.
cPanel yang disusupi adalah Komoditas Populer di Pasar Bawah Tanah
Peneliti flare mengumpulkan sampel tujuh hari dengan lebih dari 200.000 postingan. Kami menemukan bahwa 90% postingan adalah duplikat.
Hal ini mungkin menunjukkan pasar yang sangat terkomoditisasi dengan ratusan postingan unik yang diperkuat ribuan kali melalui berbagai saluran.
Tingkatan harga membedakan kualitas, geografi, dan reputasi infrastruktur. Diskon besar-besaran memberi insentif pada skala besar.
Tautan suar untuk memposting, daftar uji coba gratis untuk mengakses jika Anda belum menjadi pelanggan
Komodifikasi
Analisis kami didasarkan pada ribuan postingan berbeda yang berisi referensi harga eksplisit. cPanel biasanya dijual dalam jumlah besar karena, dalam banyak kasus, akses awal telah terdeteksi, kredensial mungkin telah dicabut, atau akses dibatasi.
Pembeli memahami bahwa mereka menanggung risiko, yang tercermin dalam model penjualan berbasis harga dan volume.
Fakta bahwa kami menemukan lebih dari 90% duplikasi menunjukkan bahwa penjual berulang kali mengiklankan inventaris yang sama di beberapa grup chat palsu, kemungkinan besar menggunakan iklan template dan alat pengeposan ulang otomatis.
Listingan sering kali menyertakan bahasa pemasaran seperti “segar”, “berkualitas tinggi”, “bersih dari spam”, atau “siap dikirim”, yang mencerminkan taktik penjualan komersial.
Penawaran cPanel berperilaku persis seperti pasar reguler:
|
Kualitas |
Kuantitas |
Harga |
|
Premi |
100 |
$75 |
|
Premi |
500 |
$289 |
|
Premi |
1.000 |
$645 |
|
Biasa |
1.000 |
$23 |
|
Biasa |
3.000 |
$42 |
|
Biasa |
5.000 |
$58 |
Diferensiasi kualitas sangatlah mudah:
-
Domain tingkat atas dengan kepercayaan tinggi seperti .gov atau .mil memiliki persepsi legitimasi yang jauh lebih besar. Akibatnya, kampanye phishing atau penipuan yang memanfaatkan domain ini memiliki kemungkinan keberhasilan yang lebih tinggi.
-
Sebaliknya, domain seperti .xyz atau .net umumnya dipandang sebagai aset bernilai rendah di pasar bawah tanah, karena domain tersebut menawarkan kepercayaan yang lebih rendah sehingga menurunkan tingkat konversi yang diharapkan.
-
Beberapa postingan mendefinisikan panel kualitas premium sebagai metrik SEO yang baik, dan penyedia server yang memiliki reputasi baik.
-
Server SMTP aktif meningkatkan harga produk. Ini memungkinkan pembeli untuk mengirim email keluar dari domain yang sah tanpa batasan langsung atau daftar hitam. Hal ini meningkatkan nilai cPanel yang disusupi karena pelaku ancaman dapat mengirim email phishing atau spam langsung dari infrastruktur tepercaya, sehingga secara signifikan meningkatkan kemampuan pengiriman dan tingkat bypass.
-
CPanel yang disusupi dari perusahaan hosting atau domain yang berbasis di AS atau UE akan lebih mahal, terutama bila cPanel dipublikasikan untuk tujuan phishing.
Tautan suar untuk memposting, daftar uji coba gratis untuk mengakses jika Anda belum menjadi pelanggan
Deteksi dan Mitigasi
Organisasi harus mengaktifkan autentikasi multi-faktor (MFA) di semua akun panel kontrol hosting, menerapkan kata sandi yang kuat dan unik, dan membatasi akses administratif berdasarkan alamat IP jika memungkinkan.
Aktivitas SMTP keluar harus terus dipantau untuk mendeteksi penyalahgunaan spam, sementara pemantauan integritas file dapat membantu mengidentifikasi modifikasi yang tidak sah.
Melacak akun hosting yang baru dibuat, pekerjaan cron yang tidak terduga, atau perubahan konfigurasi dapat memberikan indikator awal adanya kompromi.
Hal yang sama pentingnya adalah memantau paparan kredensial di log pencuri dan pasar bawah tanah, karena kredensial hosting sering kali diperdagangkan setelah infeksi awal.
Platform CMS dan pluginnya harus ditambal sepenuhnya, layanan yang tidak digunakan dinonaktifkan, dan prinsip hak istimewa terendah diterapkan di seluruh lingkungan hosting.
Kerusakan dari Akun cPanel yang Disusupi: Akun Disusupi hingga Krisis Bisnis
Bagi organisasi, dampak akun cPanel yang disusupi bisa langsung dan parah. Tindakan pelaku ancaman dapat menyebabkan masuknya domain dan IP ke dalam daftar hitam, sehingga menyebabkan kerusakan reputasi dan gangguan operasional. Dalam kasus yang lebih serius, konten situs web dapat dicuri, dirusak, atau bahkan dienkripsi dan ditahan untuk mendapatkan uang tebusan, mengubah apa yang awalnya hanya berupa penyusupan akun sederhana menjadi insiden kelangsungan bisnis berskala penuh.
Ketika kredensial hosting yang dicuri semakin diperlakukan sebagai inventaris – dikemas, dinilai, dan dijual dalam skala besar di pasar bawah tanah – ekonomi kejahatan dunia maya beralih dari pengembangan eksploitasi ke pengembangan eksploitasi. mengakses perantaramelindungi kredensial hosting menjadi pertahanan garis depan agar tidak digunakan kembali sebagai infrastruktur untuk operasi phishing, spam, dan penipuan.
Dalam ekosistem berbasis akses ini, kredensial hosting mewakili gerbang bernilai tinggi ke lingkungan perusahaan. Jika tren saat ini terus berlanjut, pengumpulan otomatis dan redistribusi kredensial ini secara massal akan semakin mengindustrialisasi model tersebut, sehingga menurunkan hambatan masuk bagi operator phishing yang mencari domain dan ruang IP tepercaya.
Dampaknya adalah meningkatnya penyalahgunaan rantai pasokan – di mana akun hosting yang disusupi tidak lagi bersifat insidental, namun merupakan aset strategis dalam operasi kejahatan dunia maya.
Pelajari lebih lanjut dengan mendaftar uji coba gratis kami.
Disponsori dan ditulis oleh Suar.
