Abdi Bimantara

Abdi Bimantara

Security Analyst

Unauthorized External Command and Control Traffic Detected

less than 1 minute read

Published:

Tim Security Operations Center (SOC) berhasil menidentifikasi terkait dengan adanya aktivitas anomali pada environment internal perusahaan. Berdasarkan hasil temuan melalui log traffic menunjukkan adanya indikasi command and control (C2) connection. Hal ini diperkuat dengan adanya aktivitas downloading dari IP internal yang melibatkan sejumlah suspicious executable file. Temuan tersebut menunjukkan adanya potensi sistem tercompromised, sehingga perlu dilakukan tindakan respons serta investigasi lebih lanjut.

Image

Image

Show More

You May Also Enjoy

XLMRat Network Compromise and PCAP Investigation

less than 1 minute read

Published:

Hasil investigasi tim SOC terhadap file packet capture (PCAP) berhasil mengidentifikasi aktivitas awal infeksi malware dan pola komunikasi yang mengindikasikan adanya tindakan berbahaya. Dari hasil analisa ditemukan koneksi mencurigakan menuju IP publik 45.126.209.4, di mana file xlm.txt yang diunduh melalui protokol HTTP berisi obfuscated payload yang menjalankan perintah PowerShell guna mengunduh file mdm.jpg, yang teridentifikasi sebagai varian AsyncRAT. Malware tersebut diketahui memanfaatkan legitimate tools seperti RegSvcs.exe untuk menjalankan prosesnya di memori serta membuat scheduled task guna mempertahankan persistensi. Berdasarkan temuan tersebut, insiden ini dikategorikan sebagai infeksi Remote Access Trojan (RAT) yang menggunakan teknik defense evasion dan persistence untuk menghindari deteksi serta mempertahankan akses ke sistem korban.

Backdoor Incident Investigation Report

less than 1 minute read

Published:

Berdasarkan hasil monitoring yang dilakukan oleh tim Security Operation Center (SOC), terdeteksi adanya alarm yang dihasilkan oleh perangkat keamanan Security Information and Event Management (SIEM). Alarm tersebut mengindikasikan keberadaan suspicious file pada web server. Tim SOC telah menerima konfirmasi dari Tim Development bahwa file tersebut tergolong sebagai anomali dan berpotensi terkait aktivitas berbahaya (malicious process). Aktivitas terkait juga terekam oleh perangkat network analyzer, sehingga Tim SOC melakukan investigasi lanjutan untuk menindaklanjuti insiden tersebut. Hasil dari investigasi tersebut, benar terdapat aktivitas file upload yang dilakukan oleh threat actor guna menexfiltrasi data sensitive pada system tersebut.

Comprehensive Analysis of BERT Ransomware Infection Chain and Countermeasures

less than 1 minute read

Published:

BERT ransomware adalah kelompok ancaman siber yang beroperasi dengan model pemerasan ganda (double extortion), memadukan enkripsi data korban dan ancaman publikasi informasi sensitif di situs kebocoran data di dark web. Serangan ini bersifat lintas platform, menargetkan sistem Windows dan Linux dengan vektor infeksi utama melalui phishing, eksploitasi kerentanan, dan malicious updates. Infrastruktur terorganisir dan teknik multi-stage execution menjadikan BERT salah satu ransomware dengan tingkat kompleksitas dan dampak yang tinggi. Menurut tulisan yang dimuat pada laman resmi blog.hunterstrategy.net, Attack vector yang digunakan oleh group ransomware ini ada beberapa, dimulai dari Phishing berperan sebagai metode infeksi utama, memanfaatkan teknik rekayasa sosial untuk memperoleh akses awal ke jaringan. Malicious Downloads melibatkan distribusi payload melalui situs web yang telah dikompromikan atau file unduhan berbahaya. Exploiting Vulnerabilities menargetkan kerentanan perangkat lunak yang belum diperbarui (unpatched), khususnya pada layanan yang berjalan di server Linux, untuk mendapatkan kendali sistem. Sementara itu, Malicious Software Updates menggunakan pembaruan perangkat lunak atau keamanan palsu sebagai sarana penyebaran ransomware. Pendekatan multi-vektor ini memungkinkan BERT meningkatkan peluang keberhasilan serangan sekaligus memperluas cakupan target, baik pada lingkungan Windows maupun Linux.

Phishing Website Impersonating Dukcapil Delivering Banking Trojan

less than 1 minute read

Published:

Percobaan serangan social engineering teridentifikasi melalui pesan WhatsApp yang mengarahkan korban ke situs phishing menyerupai portal resmi Dukcapil. Situs tersebut meminta korban mengunduh file APK dengan dalih validasi data kependudukan. Hasil analisa menunjukkan APK merupakan malware banking trojan yang dikirim menggunakan berbagai teknik manipulasi, termasuk penyalahgunaan Accessibility Service, intent://, dan teknik chunked download. Selain itu tautan phishing saat ini masih aktif dan belum terdeteksi sebagai malicious oleh VirusTotal.