Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Aturan Pelaporan Pelanggaran yang Baru untuk Bank di US Mulai Berlaku 1 Mei

by

Aturan pelaporan insiden dunia maya baru akan mulai berlaku di AS pada 1 Mei. Bank-bank di negara itu akan diminta untuk memberi tahu regulator dalam 36 jam pertama setelah sebuah organisasi mengalami “insiden keamanan komputer” yang memenuhi syarat. Peraturan tersebut pertama kali disahkan pada November 2021.

Layanan dan institusi keuangan, yang merupakan tulang punggung ekonomi A.S., adalah salah satu sektor yang paling ditargetkan oleh musuh dunia maya global, Marcus Fowler, wakil presiden senior keterlibatan strategi dan ancaman di perusahaan keamanan siber AI Darktrace, mengatakan kepada Information Security Media Group.

“Undang-undang ini sangat penting karena pemberitahuan tepat waktu memainkan peran penting dalam membatasi skala serangan, terutama untuk institusi yang bergantung pada intelijen ancaman untuk kemampuan bertahan,” katanya.

“Meskipun waktu pelaporan 36 jam adalah jendela yang lebih kecil daripada yang biasa digunakan kebanyakan orang, FDIC telah mereferensikan kesederhanaan proses pemberitahuan karena ‘tidak menetapkan konten atau format tertentu’ serta memulai pemberitahuan 36 jam setelah Anda menentukan bahwa Anda memiliki insiden keamanan aktual, bukan potensial, “kata Brickhouse.

“Insiden keamanan komputer,” katanya, adalah kejadian yang “mengakibatkan kerusakan nyata pada kerahasiaan, integritas, atau ketersediaan sistem informasi atau informasi yang diproses, disimpan, atau dikirimkan oleh sistem.” Sebuah insiden yang memerlukan pemberitahuan selanjutnya, kata badan-badan tersebut, didefinisikan sebagai “insiden keamanan komputer” yang telah mengganggu atau menurunkan operasi organisasi perbankan dan kemampuannya untuk memberikan layanan ke “bagian material dari basis pelanggannya” dan lini bisnis.

Contoh Pemberitahuan

Badan-badan tersebut, dalam penyusunan aturan, mengatakan bahwa mereka meninjau data dan laporan aktivitas mencurigakan yang diajukan ke Jaringan Penegakan Kejahatan Keuangan Departemen Keuangan pada tahun 2019 dan 2020. Berdasarkan ini, mereka mencantumkan insiden berikut sebagai contoh pemberitahuan:

  • Serangan DDoS skala besar mengganggu akses akun selama lebih dari empat jam;
  • Penyedia layanan bank mengalami pemadaman sistem yang meluas;
  • Pemutakhiran sistem yang gagal mengakibatkan pemadaman pengguna yang meluas;
  • Kegagalan sistem yang tidak dapat dipulihkan yang mengakibatkan aktivasi rencana pemulihan berkelanjutan atau bencana;
  • Insiden peretasan komputer yang melumpuhkan operasi perbankan untuk waktu yang lama;
  • Malware pada jaringan bank yang menimbulkan ancaman langsung terhadap lini bisnis inti atau operasi kritis;
  • Serangan Ransomware yang mengenkripsi sistem perbankan inti atau data cadangan.

36 Jam: Ya atau Tidak?

NYDFS, dan bahkan GDPR Eropa, memiliki batas waktu pemberitahuan pelanggaran 72 jam. Apakah 36 jam merupakan rentang waktu yang terlalu singkat, terutama untuk organisasi perbankan yang memiliki sistem dan alur kerja yang kompleks yang mungkin memerlukan waktu untuk memantau, mendeteksi, dan memahami pelanggaran?

“Sulit untuk mengukurnya,” kata Tim Erlin, wakil presiden strategi di Tripwire. “Sulit untuk mengatakan apakah 36 jam adalah waktu yang tepat atau tidak. Pelaporan yang lebih cepat memiliki pro dan kontra. FDIC harus menerapkan tujuan yang terukur dan bersedia menyesuaikan persyaratan untuk mencapai tujuan mereka dengan lebih baik.”

“Harus melaporkan gangguan pelanggan selama empat jam atau lebih kepada pelanggan sama agresifnya dengan yang saya lihat. Dari sudut pandang pelanggan, itu adalah hal yang hebat – sangat tepat waktu. Tapi dari perspektif pelaporan perusahaan – sangat agresif,” Grimes memberitahu Grup Media Keamanan Informasi.

Menurutnya, hal terbesar yang dikhawatirkan korporasi dengan jadwal pelaporan yang ketat adalah jika mereka dapat melaporkan informasi yang akurat. “Terburu-buru untuk melaporkan sesuatu dengan cepat berarti kemungkinan besar seseorang akan melaporkan sesuatu secara tidak akurat, dan itu meningkatkan risiko tanggung jawab,” katanya.

Selengkapnya: Gov Info Security

Kerentanan Microsoft Azure Mengekspos Database PostgreSQL ke Pelanggan Lain

by

Microsoft pada hari Kamis mengungkapkan bahwa itu mengatasi sepasang masalah dengan Database Azure untuk Server Fleksibel PostgreSQL yang dapat mengakibatkan akses database lintas-akun yang tidak sah di suatu wilayah.

“Dengan mengeksploitasi bug izin yang ditingkatkan dalam proses otentikasi Server Fleksibel untuk pengguna replikasi, pengguna jahat dapat memanfaatkan ekspresi reguler yang ditambatkan secara tidak benar untuk melewati otentikasi untuk mendapatkan akses ke basis data pelanggan lain,” kata Microsoft Security Response Center (MSRC).

Perusahaan keamanan cloud yang berbasis di New York City, Wiz, yang mengungkap kelemahan tersebut, menjuluki rantai eksploitasi itu “ExtraReplica.” Microsoft mengatakan telah mengurangi bug dalam waktu 48 jam setelah pengungkapan pada 13 Januari 2022.

Secara khusus, ini terkait dengan kasus eskalasi hak istimewa di mesin Azure PostgreSQL untuk mendapatkan eksekusi kode dan bypass otentikasi lintas-akun melalui sertifikat palsu, yang memungkinkan penyerang membuat database di wilayah Azure target dan mengekstrak informasi sensitif.

Dengan kata lain, keberhasilan eksploitasi kelemahan kritis dapat memungkinkan musuh untuk mendapatkan akses baca yang tidak sah ke database PostgreSQL pelanggan lain, secara efektif menghindari isolasi penyewa.

Wiz menelusuri eskalasi hak istimewa ke bug yang berasal dari modifikasi yang diperkenalkan di mesin PostgreSQL untuk memperkuat model hak istimewanya dan menambahkan fitur baru. Nama ExtraReplica berasal dari fakta bahwa exploit memanfaatkan fitur PostgreSQL yang memungkinkan penyalinan data database dari satu server ke server lain, yaitu, “mereplikasi” database.

Pembuat Windows menggambarkan kerentanan keamanan sebagai mempengaruhi contoh Server Fleksibel PostgreSQL yang digunakan menggunakan opsi jaringan akses publik, tetapi menekankan bahwa itu tidak menemukan bukti kelemahan yang dieksploitasi secara aktif dan bahwa tidak ada data pelanggan yang diakses.

Sumber: The Hacker News

Google Documents memperluas peringatan tentang file dan tautan yang cerdik

by

Alat kolaborasi kantor Google, Dokumen, Spreadsheet, Slide, dan Gambar sekarang akan menampilkan spanduk peringatan saat Anda membuka file yang berpotensi berbahaya dari web, raksasa pencarian telah mengumumkan.

Spanduk ini sudah muncul saat file cerdik diakses dari dalam Drive, serta dari tautan mencurigakan dalam file Dokumen, Spreadsheet, Slide, dan Gambar yang terpisah. Peluncuran yang lebih luas akan membantu melindungi pengguna dalam situasi yang lebih luas.

Yang membingungkan, postingan pengumuman Google pada 20 Januari mengatakan bahwa spanduk sudah muncul saat membuka tautan Google Documents, Spreadsheet, Slide, dan Gambar. Namun, perusahaan memberi tahu kami bahwa ini salah ketik, dan seharusnya spanduk tersebut muncul di file “tautan dari Google Documents, Spreadsheet, Slide, dan Gambar”.

Spanduk peringatan tampaknya merupakan upaya untuk memerangi penipuan yang menggunakan perangkat lunak produktivitas kantor Google untuk menciptakan lapisan keaslian di sekitar tautan cerdik dan upaya phishing.

Pada tahun 2020, Wired melaporkan gelombang penipuan yang menggunakan berbagai fitur berbagi dan kolaborasi Google untuk mendapatkan file berbahaya mereka di depan pengguna yang tidak menaruh curiga.

Mengklik tautan di salah satu dokumen ini mengarahkan pengguna ke situs yang dipenuhi dengan iklan cerdik, atau situs phishing biasa yang meminta mereka memasukkan detail bank atau akun lainnya.

Pengumuman Google mengatakan bahwa spanduk peringatan baru akan diluncurkan selama beberapa minggu ke depan untuk semua akun, bisnis dan pribadi.

Selengkapnya: The Verge

Microsoft menambahkan VPN built-in gratis ke browser Edge-nya

by

Microsoft menambahkan layanan jaringan pribadi virtual (VPN) built-in gratis ke browser Edge-nya dalam upaya untuk meningkatkan keamanan dan privasi, sebuah halaman dukungan Microsoft mengungkapkan.

Disebut “Edge Secure Network,” Microsoft saat ini sedang menguji layanan VPN yang didukung Cloudflare dan mengatakan akan meluncurkannya ke publik sebagai bagian dari peningkatan keamanan.

Saat diaktifkan, Edge Secure Network harus mengenkripsi lalu lintas web pengguna sehingga penyedia layanan internet tidak dapat mengumpulkan informasi penelusuran yang Anda lebih suka merahasiakannya, seperti, katakanlah, penelusuran terkait kesehatan atau sekadar pertanyaan aneh.

Fitur baru ini juga memungkinkan pengguna menyembunyikan lokasi mereka dengan memungkinkan mereka menjelajahi web menggunakan alamat IP virtual. Itu juga berarti pengguna dapat mengakses konten yang diblokir di negara mereka seperti, misalnya, acara Netflix atau Hulu.

inilah tangkapan untuk layanan gratis ini. Penggunaan data dibatasi hingga 1GB per bulan, dan pengguna harus masuk ke akun Microsoft sehingga perusahaan dapat melacak penggunaan mereka secara ironis.

Microsoft menambahkan bahwa sementara Cloudflare akan mengumpulkan dukungan dan informasi diagnostik dari layanan, perusahaan akan secara permanen menghapus data itu setiap 25 jam.

Sementara fitur ini masih dalam pengembangan dan belum tersedia untuk pengujian awal, Microsoft merinci bagaimana pengguna dapat mencoba pratinjau.

Selengkapnya: The Verge

Microsoft menemukan kelemahan desktop Linux yang memberikan root kepada pengguna yang tidak tepercaya

by

Microsoft menemukan kerentanan yang memudahkan orang-orang yang memiliki akses di banyak sistem desktop Linux untuk mendapatkan hak sistem root, peningkatan terbaru dari kelemahan hak istimewa yang terungkap di OS open source.

Karena sistem operasi telah dikeraskan untuk menahan kompromi dalam beberapa tahun terakhir, kerentanan elevasi hak istimewa (EoP) telah menjadi unsur penting bagi sebagian besar peretasan yang sukses.

Mereka dapat dieksploitasi bersama dengan kerentanan lain yang sering dianggap kurang parah, mereka memberikan akses lokal dan yang pertama meningkatkan akses root. Dari sana, musuh dengan akses fisik atau hak sistem terbatas dapat menyebarkan pintu belakang atau mengeksekusi kode pilihan mereka.

Nimbuspwn, seperti yang disebut Microsoft sebagai ancaman EoP, adalah dua kerentanan yang berada di networkd-dispatcher, komponen di banyak distribusi Linux yang mengirimkan perubahan status jaringan dan dapat menjalankan berbagai skrip untuk merespons status baru.

Cacat, dilacak sebagai CVE-2022-29799 dan CVE-2022-29800, menggabungkan ancaman termasuk traversal direktori, balapan symlink, dan kondisi balapan time-of-check time-of-use (TOCTOU). Setelah meninjau kode sumber Networkd -dispatcher, peneliti Microsoft Jonathan Bar Or memperhatikan bahwa komponen yang dikenal sebagai “_run_hooks_for_state” mengimplementasikan logika berikut:

Daftar daftar skrip yang tersedia dengan menjalankan metode “get_script_list”, yang memanggil metode “scripts_in_path” terpisah yang dimaksudkan untuk mengembalikan semua file yang disimpan di direktori “/etc/networkd-dispatcher/.d”.

Run_hooks_for_state membiarkan sistem Linux terbuka untuk kerentanan direktori-traversal, yang ditetapkan sebagai CVE-2022-29799, karena tidak ada fungsi yang digunakannya secara memadai membersihkan status yang digunakan untuk membangun jalur skrip yang tepat dari input berbahaya. Peretas dapat mengeksploitasi kelemahan untuk keluar dari direktori dasar “/etc/networkd-dispatcher”.

Run-hooks_for_state berisi cacat terpisah, CVE-2022-29800, yang membuat sistem rentan terhadap kondisi balapan TOCTOU karena ada waktu tertentu antara skrip ditemukan dan skrip dijalankan.

Musuh dapat mengeksploitasi kerentanan yang terakhir ini untuk mengganti skrip yang diyakini networkd-dispatcher dimiliki oleh root dengan skrip jahat pilihan musuh. Untuk memastikan Linux mengeksekusi skrip berbahaya yang disediakan peretas daripada skrip yang sah, peretas menanam beberapa skrip hingga akhirnya berhasil.

Seorang peretas dengan akses minimal ke desktop yang rentan dapat menyatukan eksploitasi untuk kerentanan ini yang memberikan akses root penuh.

Untuk mendapatkan akses root yang persisten, peneliti menggunakan alur eksploit untuk membuat pintu belakang. Proses untuk ini adalah:

Salin /bin/sh ke /tmp/sh.
Mengubah /tmp/sh baru menjadi biner Set-UID (SUID)
Jalankan /tmp/sh -p. Bendera “-p” diperlukan karena cangkang modern menjatuhkan hak istimewa berdasarkan desain.

Eksploitasi proof-of-concept hanya berfungsi jika dapat menggunakan nama bus “org.freedesktop.network1”. Peneliti menemukan beberapa lingkungan di mana ini terjadi, termasuk Linux Mint, di mana systemd-networkd secara default tidak memiliki nama bus org.freedodesktop.network1 saat boot.

Peneliti juga menemukan beberapa proses yang berjalan sebagai pengguna jaringan systemd, yang diizinkan untuk menggunakan nama bus yang diperlukan untuk menjalankan kode arbitrer dari lokasi yang dapat ditulis di dunia. Proses yang rentan mencakup beberapa plugin gpgv, yang diluncurkan saat apt-get menginstal atau meningkatkan, dan Erlang Port Mapper Daemon, yang memungkinkan menjalankan kode arbitrer dalam beberapa skenario.

Kerentanan telah ditambal di networkd-dispatcher, meskipun tidak segera jelas kapan atau dalam versi apa, dan upaya untuk menjangkau pengembang tidak segera berhasil. Orang yang menggunakan versi Linux yang rentan harus menambal sistem mereka sesegera mungkin.

Sumber : Arstechnica

Google Play Store sekarang memaksa aplikasi untuk mengungkapkan data apa yang dikumpulkan

by

Google meluncurkan bagian Keamanan Data baru di Play Store, repositori aplikasi resmi Android, di mana pengembang harus menyatakan data apa yang dikumpulkan perangkat lunak mereka dari pengguna aplikasi mereka.

Ini dapat membantu pengguna memutuskan apakah mereka ingin melanjutkan penginstalan.

Aplikasi yang mendeklarasikan data apa yang dikumpulkannya
(Google)

Pengembang tidak hanya akan menyatakan data apa yang mereka kumpulkan, tetapi juga data apa yang mereka bagikan dengan pihak ketiga.

Jika pengguna ingin mempelajari lebih lanjut tentang entri tertentu, mengetuk item yang sesuai akan menciutkan menu untuk mengungkapkan lebih banyak informasi tentang apa yang dikumpulkan atau dibagikan.

Melihat detail di bagian data bersama
(Google)

Pilar ketiga dari bagian Keamanan Data adalah praktik keamanan aplikasi, yang menjelaskan mekanisme keamanan yang digunakan untuk melindungi data yang dikumpulkan, seperti standar MASVS.

Bagian ketiga ini juga menjelaskan apakah pengguna diberikan opsi untuk meminta penghapusan data mereka kapan saja.

Terakhir, Keamanan Data akan menentukan apakah aplikasi mengikuti Kebijakan Keluarga Google Play, yang ditujukan untuk perlindungan anak-anak.

Google meluncurkan bagian Keamanan Data baru secara bertahap sehingga pengguna Android tidak akan segera melihat bagian baru ini tetapi selama beberapa minggu ke depan.

Google mengatakan bahwa pengembang akan memberikan informasi ini sendiri, yang tidak akan dikonfirmasi oleh Google. Namun, jika ditemukan bahwa pengembang telah salah mengartikan pengungkapan penggunaan data mereka, mereka akan diminta untuk memperbaiki informasi yang diberikan.

Kegagalan untuk melakukannya akan menyebabkan pelanggaran kebijakan, yang menyebabkan penangguhan aplikasi di Google Play Store.

Hingga saat ini, aplikasi Android di Play Store harus mencantumkan tautan ke Kebijakan Privasi mereka di bawah bagian “Informasi Tambahan” dan memberikan email kontak.

Karena kebijakan privasi ini dihosting di lokasi eksternal, kebijakan tersebut dapat dimodifikasi, mungkin tidak jelas, mungkin tidak mengungkapkan semua detail penting tentang pengumpulan dan perlindungan data, dan bahkan dapat menyebabkan tautan yang rusak.

Cara saat ini untuk mengakses info pengumpulan data (Play Store)

Selain itu, karena membaca teks besar jargon hukum bukanlah hal yang diharapkan pengguna saat menjelajahi Google Play Store untuk aplikasi baru, hampir tidak ada yang memeriksanya.

Akhirnya, karena kesulitan praktis yang timbul dari hal di atas, Google tidak mungkin memvalidasi bahwa aplikasi menghormati persyaratan yang disajikan dalam kebijakan privasi mereka.

Keamanan Data memberi pengguna pemahaman yang jelas tentang apa yang terjadi dengan data mereka tanpa mengharuskan mereka menghabiskan waktu untuk menggali ke dalam beberapa bagian, sementara itu juga memberdayakan Google dengan penegakan.

Sementara langkah Google bermanfaat bagi pengguna Android, fitur serupa yang disebut ‘Label Nutrisi Privasi’ sudah diperkenalkan oleh Apple pada tahun 2020.

Ringkasan pengumpulan data Apple TV (Apple)

Ini adalah kasus lain di mana persaingan di ruang OS seluler telah membawa perkembangan positif, memberi pengguna lebih banyak wawasan dan kontrol atas bagaimana data mereka ditangani oleh berbagai perangkat lunak yang berjalan di ponsel cerdas mereka.

Dengan banyaknya aplikasi penipuan, malware, dan aplikasi riba yang ditemukan di Google Play, bagian Keamanan Data baru ini tidak hanya akan berguna bagi pengguna Android, tetapi juga memungkinkan Google untuk menemukan pelanggar kebijakan dengan lebih cepat.

Sumber: Bleeping Computer

Pelanggaran Dalam Angka: Mengapa Beradaptasi dengan Tantangan Regional Sangat Penting

by

Setiap tahun, Forrester memberikan Forrester Analytics Business Technographics® Security Survey, yang memberi kita wawasan tentang keadaan saat ini, tantangan, dan prioritas berwawasan ke depan dari para pembuat keputusan keamanan. Tahun ini, kami menganalisis data untuk melihat bagaimana keraguan transformasi digital, kesiapsiagaan pemulihan bencana, dan menyeimbangkan harapan dengan data mempengaruhi biaya dan efek pelanggaran. Penelitian kami, termasuk dalam laporan The 2021 State Of Enterprise Breach, mengungkapkan hal-hal berikut:

  • Enam puluh tiga persen organisasi dilanggar pada tahun lalu, 4% lebih banyak dari tahun sebelumnya. Dalam 12 bulan terakhir, organisasi menghadapi rata-rata tiga pelanggaran. Tidak mengherankan bahwa ini kurang dari tahun sebelumnya, mengingat pergeseran ke pekerjaan jarak jauh selama pandemi COVID-19. Daerah yang ragu-ragu untuk mengatasi tantangan dengan penyelarasan bisnis mengalami pelanggaran lebih tinggi daripada yang mengatasi tantangan tersebut sejak dini.
  • Perusahaan menghabiskan rata-rata 37 hari dan rata-rata $ 2,4 juta untuk menemukan dan pulih dari pelanggaran. Secara global, organisasi membutuhkan waktu rata-rata 27 hari untuk menemukan musuh dan memberantas serangan dan rata-rata 10 hari untuk pulih dari pelanggaran, dengan total 37 hari untuk menemukan dan pulih dari pelanggaran. Biaya keluar ke rata-rata global $ 2,4 juta total per pelanggaran.
  • Kekhawatiran atas jenis pelanggaran jauh dari kenyataan di lapangan. Pembuat keputusan keamanan lebih peduli tentang serangan eksternal daripada vektor serangan lainnya, sebesar 47%. Pelanggaran datang dalam berbagai cara, bagaimanapun, dan jauh lebih merata dalam frekuensi antara serangan eksternal, aset hilang / dicuri, insiden internal, dan penyedia pihak ketiga.

Apa yang harus diambil dari data ini

Temuan dalam penelitian ini jauh melampaui apa yang disebutkan di atas untuk menggali bagaimana perbedaan geografis memainkan peran besar dalam bagaimana perusahaan dipengaruhi oleh pelanggaran. Dalam laporan lengkap, kami menyelami nuansa berdasarkan wilayah dan menganalisis mengapa nuansa ini muncul. Melalui temuan kami, kami menyoroti poin-poin utama berikut untuk para profesional keamanan:

  • Masa depan tidak menunggu siapa pun. Menunda-nunda upaya transformasi digital dan prioritas TI lainnya bekerja… sampai fungsi memaksa mendesak mengubah segalanya. Sebagai profesional keamanan, Anda perlu mengadvokasi pembaruan teknologi secara internal untuk membantu organisasi menjadi lebih fleksibel, mudah beradaptasi, dan siap untuk perubahan dramatis, yang akan berlanjut ke masa mendatang.
  • Metrik berikut mengarah pada hasil yang lebih baik. Begitu konstannya pembuatan judul headline pelanggaran, tidak heran bahwa profesional keamanan paling peduli dengan serangan eksternal. Penting untuk memimpin organisasi Anda dengan data dan metrik untuk memastikan bahwa Anda tidak kelewatan serangan dari vektor lain yang lebih umum. Sesuaikan strategi Anda sesuai dengan data, bukan judul headline.
  • Beradaptasi dengan tantangan regional dalam perusahaan global sangat penting. Tidak semua wilayah dibangun sama – konflik geopolitik, peraturan, budaya, ketersediaan kepegawaian, dan peristiwa dunia lainnya sangat mempengaruhi tingkat pelanggaran dan respons tepat waktu. Strategi global Anda akan menghadapi tantangan di berbagai wilayah karena ini. Sesuaikan jadwal, strategi, dan metrik Anda untuk mengatasi batasan regional, dan tetapkan harapan yang sesuai.

Sumber: ZDNet

Hacker Menyisipkan Malware ‘More_Eggs’ ke dalam Resume Dikirim ke Manajer Perekrutan Perusahaan

by

Satu set baru serangan phishing yang memberikan malware more_eggs telah diamati menyerang manajer perekrutan perusahaan dengan resume palsu sebagai vektor infeksi, setahun setelah kandidat potensial yang mencari pekerjaan di LinkedIn terpikat dengan tawaran pekerjaan bersenjata.

“Tahun ini operasi more_eggs telah membalik skrip rekayasa sosial, menargetkan manajer perekrutan dengan resume palsu alih-alih menargetkan pencari kerja dengan tawaran pekerjaan palsu,” kata pemimpin penelitian dan pelaporan eSentire, Keegan Keplinger, dalam sebuah pernyataan.

Perusahaan cybersecurity Kanada mengatakan telah mengidentifikasi dan mengganggu empat insiden keamanan terpisah, tiga di antaranya terjadi pada akhir Maret. Entitas yang ditargetkan termasuk perusahaan kedirgantaraan yang berbasis di AS, bisnis akuntansi yang berlokasi di Inggris, sebuah firma hukum, dan agen kepegawaian, keduanya berbasis di Kanada.

Malware, yang diduga merupakan hasil karya aktor ancaman yang disebut Golden Chickens (alias Venom Spider), adalah suite backdoor modular yang tersembunyi yang mampu mencuri informasi berharga dan melakukan gerakan lateral di seluruh jaringan yang dikompromikan.

“More_eggs mencapai eksekusi dengan meneruskan kode berbahaya ke proses windows yang sah dan membiarkan proses windows tersebut melakukan pekerjaan untuk mereka,” kata Keplinger. Tujuannya adalah untuk memanfaatkan resume sebagai umpan untuk meluncurkan malware dan menghindari deteksi.

“Aktor ancaman di balik more_eggs menggunakan pendekatan spear-phishing yang terukur yang mempersenjatai komunikasi yang diharapkan, seperti resume, yang sesuai dengan harapan manajer perekrutan atau tawaran pekerjaan, menargetkan kandidat yang penuh harapan yang sesuai dengan jabatan mereka saat ini atau masa lalu,” kata Keplinger.

Sumber: The Hacker News