Abdi Bimantara

Abdi Bimantara

Security Analyst

XLMRat Network Compromise and PCAP Investigation

less than 1 minute read

Published:

Hasil investigasi tim SOC terhadap file packet capture (PCAP) berhasil mengidentifikasi aktivitas awal infeksi malware dan pola komunikasi yang mengindikasikan adanya tindakan berbahaya. Dari hasil analisa ditemukan koneksi mencurigakan menuju IP publik 45.126.209.4, di mana file xlm.txt yang diunduh melalui protokol HTTP berisi obfuscated payload yang menjalankan perintah PowerShell guna mengunduh file mdm.jpg, yang teridentifikasi sebagai varian AsyncRAT. Malware tersebut diketahui memanfaatkan legitimate tools seperti RegSvcs.exe untuk menjalankan prosesnya di memori serta membuat scheduled task guna mempertahankan persistensi. Berdasarkan temuan tersebut, insiden ini dikategorikan sebagai infeksi Remote Access Trojan (RAT) yang menggunakan teknik defense evasion dan persistence untuk menghindari deteksi serta mempertahankan akses ke sistem korban.

Image

Image

Show More

You May Also Enjoy

Backdoor Incident Investigation Report

less than 1 minute read

Published:

Berdasarkan hasil monitoring yang dilakukan oleh tim Security Operation Center (SOC), terdeteksi adanya alarm yang dihasilkan oleh perangkat keamanan Security Information and Event Management (SIEM). Alarm tersebut mengindikasikan keberadaan suspicious file pada web server. Tim SOC telah menerima konfirmasi dari Tim Development bahwa file tersebut tergolong sebagai anomali dan berpotensi terkait aktivitas berbahaya (malicious process). Aktivitas terkait juga terekam oleh perangkat network analyzer, sehingga Tim SOC melakukan investigasi lanjutan untuk menindaklanjuti insiden tersebut. Hasil dari investigasi tersebut, benar terdapat aktivitas file upload yang dilakukan oleh threat actor guna menexfiltrasi data sensitive pada system tersebut.

Comprehensive Analysis of BERT Ransomware Infection Chain and Countermeasures

less than 1 minute read

Published:

BERT ransomware adalah kelompok ancaman siber yang beroperasi dengan model pemerasan ganda (double extortion), memadukan enkripsi data korban dan ancaman publikasi informasi sensitif di situs kebocoran data di dark web. Serangan ini bersifat lintas platform, menargetkan sistem Windows dan Linux dengan vektor infeksi utama melalui phishing, eksploitasi kerentanan, dan malicious updates. Infrastruktur terorganisir dan teknik multi-stage execution menjadikan BERT salah satu ransomware dengan tingkat kompleksitas dan dampak yang tinggi. Menurut tulisan yang dimuat pada laman resmi blog.hunterstrategy.net, Attack vector yang digunakan oleh group ransomware ini ada beberapa, dimulai dari Phishing berperan sebagai metode infeksi utama, memanfaatkan teknik rekayasa sosial untuk memperoleh akses awal ke jaringan. Malicious Downloads melibatkan distribusi payload melalui situs web yang telah dikompromikan atau file unduhan berbahaya. Exploiting Vulnerabilities menargetkan kerentanan perangkat lunak yang belum diperbarui (unpatched), khususnya pada layanan yang berjalan di server Linux, untuk mendapatkan kendali sistem. Sementara itu, Malicious Software Updates menggunakan pembaruan perangkat lunak atau keamanan palsu sebagai sarana penyebaran ransomware. Pendekatan multi-vektor ini memungkinkan BERT meningkatkan peluang keberhasilan serangan sekaligus memperluas cakupan target, baik pada lingkungan Windows maupun Linux.

Phishing Website Impersonating Dukcapil Delivering Banking Trojan

less than 1 minute read

Published:

Percobaan serangan social engineering teridentifikasi melalui pesan WhatsApp yang mengarahkan korban ke situs phishing menyerupai portal resmi Dukcapil. Situs tersebut meminta korban mengunduh file APK dengan dalih validasi data kependudukan. Hasil analisa menunjukkan APK merupakan malware banking trojan yang dikirim menggunakan berbagai teknik manipulasi, termasuk penyalahgunaan Accessibility Service, intent://, dan teknik chunked download. Selain itu tautan phishing saat ini masih aktif dan belum terdeteksi sebagai malicious oleh VirusTotal.

Investigate of Email Harassment

less than 1 minute read

Published:

Adanya email masuk yang diterima oleh salah satu tenaga pengajar di universitas nitroba dari orang yang tak dikenal. Dimana email tersebut berisikan konten yang tidak baik. Pengiriman email tersebut memanfaatkan layanan pihak ketiga untuk menyembunyikan identital pengirim. Aktivitas pengiriman email ditemukan berasal dari segment IP mess mahasiswa. Namun dalam mess tersebut, digunakan Bersama sehingga dibutuhkan validasi secara detail untuk menemukan pelaku tersebut. Setelah dilakukan penelusuran, diketahui bahwa benar pengiriman email tersebut berasal dari salah satu mahasiswa yang berada pada kelas tersebut.