Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Crime

Cyber Crime

Malware Emotet menginfeksi pengguna lagi setelah memperbaiki penginstal yang rusak

by

Jumat lalu, distributor malware Emotet meluncurkan kampanye email baru yang menyertakan lampiran file ZIP yang dilindungi kata sandi yang berisi file Windows LNK (pintasan) yang berpura-pura menjadi dokumen Word.

Emotet adalah infeksi malware yang didistribusikan melalui kampanye spam dengan lampiran berbahaya. Jika pengguna membuka lampiran, makro atau skrip berbahaya akan mengunduh Emotet DLL dan memuatnya ke dalam memori.

Setelah dimuat, malware akan mencari dan mencuri email untuk digunakan dalam kampanye spam di masa mendatang dan menjatuhkan muatan tambahan seperti Cobalt Strike atau malware lain yang biasanya mengarah ke serangan ransomware.

Contoh email phishing Emotet saat ini
Sumber: Cofense

Ketika pengguna mengklik dua kali pada pintasan, itu akan menjalankan perintah yang mencari file pintasan untuk string tertentu yang berisi kode Visual Basic Script, menambahkan kode yang ditemukan ke file VBS baru, dan mengeksekusi file VBS itu, seperti yang ditunjukkan di bawah ini .

Perintah pintasan emotet dari kampanye hari Jumat
Sumber: BleepingComputer

Namun, perintah ini mengandung bug karena menggunakan nama pintasan statis ‘Password2.doc.lnk,’ meskipun nama sebenarnya dari file pintasan terlampir berbeda, seperti ‘INVOICE 2022-04-22_1033, USA.doc’.

Ini menyebabkan perintah gagal, karena file Password2.doc.lnk tidak ada, dan dengan demikian file VBS tidak dibuat, seperti yang dijelaskan oleh grup riset Emotet Cryptolaemus.

Peneliti Cryptolaemus Joseph Roosen mengatakan bahwa Emotet menutup kampanye email baru sekitar pukul 00:00 UTC pada hari Jumat setelah menemukan bahwa bug tersebut mencegah pengguna terinfeksi.

Sayangnya, Emotet memperbaiki bug hari ini dan, sekali lagi, mulai mengirim spam kepada pengguna dengan email berbahaya yang berisi file zip yang dilindungi kata sandi dan lampiran pintasan.

Pintasan ini sekarang merujuk nama file yang benar ketika perintah dijalankan, memungkinkan file VBS dibuat dengan benar dan malware Emotet diunduh dan diinstal pada perangkat korban.

Memperbaiki perintah lampiran Emotet
Sumber: BleepingComputer

Perusahaan keamanan email Cofense mengatakan bahwa lampiran yang digunakan bernama yang digunakan dalam kampanye Emotet hari ini adalah:

form.zip
Formulir.zip
Formulir elektronik.zip
PO 04252022.zip
Formulir – 25 Apr 2022.zip
Status Pembayaran.zip
TRANSFER BANK COPY.zip
Transaksi.zip
formulir ACH.zip
Info pembayaran ACH.zip

Sumber : Bleeping Computer

Hacker Menyisipkan Malware ‘More_Eggs’ ke dalam Resume Dikirim ke Manajer Perekrutan Perusahaan

by

Satu set baru serangan phishing yang memberikan malware more_eggs telah diamati menyerang manajer perekrutan perusahaan dengan resume palsu sebagai vektor infeksi, setahun setelah kandidat potensial yang mencari pekerjaan di LinkedIn terpikat dengan tawaran pekerjaan bersenjata.

“Tahun ini operasi more_eggs telah membalik skrip rekayasa sosial, menargetkan manajer perekrutan dengan resume palsu alih-alih menargetkan pencari kerja dengan tawaran pekerjaan palsu,” kata pemimpin penelitian dan pelaporan eSentire, Keegan Keplinger, dalam sebuah pernyataan.

Perusahaan cybersecurity Kanada mengatakan telah mengidentifikasi dan mengganggu empat insiden keamanan terpisah, tiga di antaranya terjadi pada akhir Maret. Entitas yang ditargetkan termasuk perusahaan kedirgantaraan yang berbasis di AS, bisnis akuntansi yang berlokasi di Inggris, sebuah firma hukum, dan agen kepegawaian, keduanya berbasis di Kanada.

Malware, yang diduga merupakan hasil karya aktor ancaman yang disebut Golden Chickens (alias Venom Spider), adalah suite backdoor modular yang tersembunyi yang mampu mencuri informasi berharga dan melakukan gerakan lateral di seluruh jaringan yang dikompromikan.

“More_eggs mencapai eksekusi dengan meneruskan kode berbahaya ke proses windows yang sah dan membiarkan proses windows tersebut melakukan pekerjaan untuk mereka,” kata Keplinger. Tujuannya adalah untuk memanfaatkan resume sebagai umpan untuk meluncurkan malware dan menghindari deteksi.

“Aktor ancaman di balik more_eggs menggunakan pendekatan spear-phishing yang terukur yang mempersenjatai komunikasi yang diharapkan, seperti resume, yang sesuai dengan harapan manajer perekrutan atau tawaran pekerjaan, menargetkan kandidat yang penuh harapan yang sesuai dengan jabatan mereka saat ini atau masa lalu,” kata Keplinger.

Sumber: The Hacker News

Botnet emotet beralih ke modul 64-bit, meningkatkan aktivitas

by

Malware Emotet mengalami ledakan distribusi dan kemungkinan akan segera beralih ke muatan baru yang saat ini terdeteksi oleh lebih sedikit mesin antivirus.

Peneliti keamanan yang memantau botnet mengamati bahwa email yang membawa muatan berbahaya bulan lalu telah meningkat sepuluh kali lipat.

Emotet adalah trojan modular yang menyebar sendiri yang dapat mempertahankan kegigihan pada host. Ini digunakan untuk mencuri data pengguna, melakukan pengintaian jaringan, bergerak secara lateral, atau menjatuhkan muatan tambahan seperti Cobalt Strike dan ransomware pada khususnya.

Menurut laporan yang dirilis Kaspersky hari ini, aktivitas Emotet mengalami peningkatan tajam dari Februari hingga Maret, dari 3.000 menjadi 30.000 email.

Bahasa yang digunakan dalam pesan ini termasuk Inggris, Prancis, Hongaria, Italia, Norwegia, Polandia, Rusia, Slovenia, Spanyol, dan Cina.

Untuk tema, distributor Emotet dikenal sering mengganti topik untuk memanfaatkan kecepatan minat musiman. Kali ini perayaan Paskah yang mereka manfaatkan.

Check Point juga merilis sebuah laporan, yang menempatkan Emotet sebagai malware nomor satu paling umum dan aktif pada Maret 2022.

Email emotet menggunakan umpan Paskah dalam banyak bahasa
(Check Point)

Kaspersky menyebutkan bahwa kampanye distribusi email Emotet yang sedang berlangsung juga menggunakan trik pembajakan utas diskusi, terlihat dalam kampanye Qbot yang ditautkan ke operator yang sama.

Karena pelaku ancaman memiliki akses ke korespondensi sebelumnya, cukup mudah bagi mereka untuk menunjukkan lampiran sebagai sesuatu yang diharapkan penerima sebagai kelanjutan dari diskusi dengan rekan kerja.

Kelompok peneliti keamanan Cryptolaemus, yang mengawasi aktivitas botnet Emotet, mengatakan bahwa operator malware juga telah beralih ke modul pemuat dan pencuri 64-bit pada Epoch 4, salah satu subkelompok botnet yang berjalan pada infrastruktur terpisah. Sebelumnya, itu mengandalkan kode 32-bit.

#Emotet Update – Sekitar pukul 14:00 UTC hari ini 2022/04/18 – Emotet di Epoch 4 telah beralih menggunakan modul pemuat dan pencuri 64-bit. Sebelumnya semuanya 32-bit kecuali untuk kesalahan loader sesekali. 1/x— Cryptolaemus (@Cryptolaemus1) 19 April 2022
Peralihan tidak terlihat pada Epoch 5 tetapi penundaan diperkirakan terjadi, karena Epoch 4 biasanya berfungsi sebagai test-bed pengembangan untuk operator Emotet, kata peneliti dari Cryptolaemus.

Sumber : Bleeping Computer

Pasar data curian Industrial Spy baru dipromosikan melalui celah, adware

by

Pelaku ancaman telah meluncurkan pasar baru bernama Industrial Spy yang menjual data curian dari perusahaan yang dilanggar, serta menawarkan data curian gratis kepada anggotanya.

Industrial Spy mempromosikan dirinya sebagai pasar tempat bisnis dapat membeli data pesaing mereka untuk mendapatkan akses ke rahasia dagang, diagram manufaktur, laporan akuntansi, dan basis data klien .

Pasar Industrial Spy menawarkan berbagai tingkatan penawaran data, dengan paket data curian “premium” seharga jutaan dolar dan data tingkat rendah yang dapat dibeli sebagai file individual hanya dengan $2.

Misalnya, Industrial Spy saat ini menjual data perusahaan India dalam kategori premium seharga $1,4 juta, dibayar dalam bitcoin.

Kategori data curian premium
Sumber: BleepingComputer

Namun, sebagian besar data mereka dijual sebagai file individual, di mana pelaku ancaman dapat membeli file tertentu yang mereka inginkan seharga $2 masing-masing.

Kemampuan untuk membeli file individual
Sumber: BleepingComputer

Pasar juga menawarkan paket data curian gratis, yang kemungkinan akan menarik pelaku ancaman lain untuk menggunakan situs tersebut. Beberapa perusahaan yang datanya ditawarkan dalam kategori “Umum” diketahui pernah mengalami serangan ransomware di masa lalu.

Oleh karena itu, pelaku ancaman mungkin telah mengunduh data ini dari situs kebocoran geng ransomware untuk dijual kembali di Industrial Spy.

BleepingComputer pertama kali mengetahui pasar Industrial Spy dari peneliti keamanan MalwareHunterTeam, yang menemukan malware yang dapat dieksekusi [1, 2] yang membuat file README.txt untuk mempromosikan situs.

Saat dijalankan, file malware ini akan membuat file teks di setiap folder di perangkat, yang berisi deskripsi layanan dan tautan ke situs Tor.

File README.txt dibuat untuk mempromosikan pasar
Sumber: BleepingComputer

Setelah penyelidikan lebih lanjut oleh BleepingComputer, kami menemukan bahwa executable ini didistribusikan melalui pengunduh malware lain yang biasanya menyamar sebagai crack dan adware.

Misalnya, STOP ransomware dan Trojan pencuri kata sandi, biasanya didistribusikan melalui celah, dipasang bersama dengan executable Industrial Spy.

Selanjutnya, VirusTotal menunjukkan bahwa file README.txt ditemukan di banyak kumpulan log trojan pencuri kata sandi, yang menunjukkan bahwa kedua program dijalankan pada perangkat yang sama.

Ini menunjukkan bahwa operator situs mata-mata Industri kemungkinan besar bermitra dengan distributor adware dan crack untuk mendistribusikan program yang mempromosikan pasar.

Sumber : Bleeping Computer

Forum peretasan RaidForums disita oleh polisi, pemiliknya ditangkap

by

Forum peretas RaidForums, yang digunakan terutama untuk berdagang dan menjual basis data curian, telah ditutup dan domainnya disita oleh penegak hukum AS selama Operasi TOURNIQUET, tindakan yang dikoordinasikan oleh Europol yang melibatkan lembaga penegak hukum di beberapa negara.

Administrator RaidForum dan dua kaki tangannya telah ditangkap, dan infrastruktur pasar ilegal sekarang berada di bawah kendali penegakan hukum.

Administrator dan pendiri RaidForums, Diogo Santos Coelho dari Portugal, alias Mahakuasa, telah ditangkap pada 31 Januari di Inggris dan menghadapi tuntutan pidana. Dia telah ditahan sejak penangkapan, sambil menunggu resolusi dari proses ekstradisinya.

Departemen Kehakiman A.S. hari ini mengatakan bahwa Coelho berusia 21 tahun, yang berarti dia baru berusia 14 tahun ketika meluncurkan RaidForums pada tahun 2015.

Tiga domain hosting RaidForums telah disita: “raidforums.com,” “Rf.ws,” dan “Raid.Lol.”

Menurut DoJ, pasar menawarkan untuk dijual lebih dari 10 miliar catatan unik dari ratusan basis data curian yang memengaruhi orang-orang yang tinggal di AS.

Dalam pengumuman terpisah hari ini, Europol mengatakan bahwa RaidForums memiliki lebih dari 500.000 pengguna dan “dianggap sebagai salah satu forum peretasan terbesar di dunia”.

Pembongkaran forum dan infrastrukturnya merupakan hasil perencanaan satu tahun antara aparat penegak hukum di Amerika Serikat, Inggris, Swedia, Portugal, dan Rumania.

Badan penegak hukum Eropa membagikan beberapa detail dalam siaran persnya tetapi mencatat bahwa orang-orang yang menjalankan RaidForums bekerja sebagai administrator, pencuci uang, mencuri dan mengunggah data, dan membeli informasi yang dicuri.

Coelho diduga mengendalikan RaidForums sejak 1 Januari 2015, dakwaan mengungkapkan, dan dia mengoperasikan situs tersebut dengan bantuan beberapa administrator, mengatur strukturnya untuk mempromosikan pembelian dan penjualan barang curian.

Untuk mendapatkan keuntungan, forum membebankan biaya untuk berbagai tingkatan keanggotaan dan menjual kredit yang memungkinkan anggota untuk mengakses area istimewa situs atau data curian yang dibuang di forum.

Coelho juga bertindak sebagai perantara terpercaya antara pihak-pihak yang melakukan transaksi, untuk memberikan keyakinan bahwa pembeli dan penjual akan menghormati kesepakatan mereka.

Pelaku ancaman dan peneliti keamanan pertama kali menduga bahwa RaidForums disita oleh penegak hukum pada bulan Februari ketika situs tersebut mulai menampilkan formulir login di setiap halaman.

Namun, ketika mencoba masuk ke situs, itu hanya menampilkan halaman masuk lagi.

Hal ini membuat para peneliti dan anggota forum percaya bahwa situs tersebut disita dan bahwa permintaan login adalah upaya phishing oleh penegak hukum untuk mengumpulkan kredensial pelaku ancaman.

Pada tanggal 27 Februari 2022, server DNS untuk raidforums.com tiba-tiba berubah menjadi server berikut:

jocelyn.ns.cloudflare.com
plato.ns.cloudflare.com

Karena server DNS ini sebelumnya digunakan dengan situs lain yang disita oleh penegak hukum, termasuk weleakinfo.com dan doublevpn.com, para peneliti percaya bahwa ini menambahkan dukungan lebih lanjut bahwa domain tersebut disita.

Sebelum menjadi tempat favorit para peretas untuk menjual data curian, RaidForums memiliki awal yang lebih sederhana dan digunakan untuk mengatur berbagai jenis pelecehan elektronik, termasuk memukul target (membuat laporan palsu yang mengarah pada intervensi penegakan hukum bersenjata) dan “menyerang,” yang DoJ menggambarkan sebagai “memposting atau mengirim sejumlah besar kontak ke media komunikasi online korban.”

Situs ini menjadi terkenal selama beberapa tahun terakhir dan sering digunakan oleh geng ransomware dan pemeras data untuk membocorkan data sebagai cara untuk menekan korban agar membayar uang tebusan, dan digunakan oleh geng ransomware Babuk dan Lapsus$ kelompok pemerasan di masa lalu.

Pasar telah aktif sejak 2015 dan untuk waktu yang lama merupakan rute terpendek bagi peretas untuk menjual basis data curian atau membaginya dengan anggota forum.

Data sensitif yang diperdagangkan di forum termasuk informasi pribadi dan keuangan seperti perutean bank dan nomor rekening, kartu kredit, informasi login, dan nomor jaminan sosial.

Setelah Rusia menginvasi Ukraina, dan banyak aktor ancaman mulai memihak, RaidForums mengumumkan bahwa mereka melarang setiap anggota yang diketahui terkait dengan Rusia.

Sumber : Bleeping Computer

Peretas membajak situs web dewasa untuk menginfeksi korban dengan malware

by

Penjahat dunia maya menipu korban agar mengunduh malware (terbuka di tab baru) dengan memberi tahu mereka bahwa browser mereka sudah usang dan perlu diperbarui untuk melihat konten halaman.

Peneliti keamanan siber Avast Jan Rubin dan Pavel Novak menemukan kampanye phishing di mana aktor ancaman yang tidak dikenal menyusupi lebih dari 16.000 WordPress dan situs web Joomla yang dihosting (dibuka di tab baru) dengan kredensial login yang lemah.

Ini biasanya situs web konten dewasa, situs web pribadi, situs universitas, dan halaman pemerintah daerah

Setelah mendapatkan akses ke situs-situs ini, para penyerang akan membuat Traffic Direction System (TDS), Parrot TDS. TDS adalah gerbang berbasis web yang mengarahkan pengguna ke berbagai konten, tergantung pada parameter tertentu.

Itu memungkinkan penyerang untuk menyebarkan malware hanya pada titik akhir (terbuka di tab baru) yang dianggap sebagai target yang baik (tindakan keamanan siber yang buruk, misalnya, atau lokasi geografis tertentu).

Mereka yang mendapatkan pesan untuk “memperbarui” browser mereka, sebenarnya akan disajikan Remote Access Trojan (RAT) yang disebut NetSupport Manager. Ini memberi penyerang akses penuh ke titik akhir target.

Selengkapnya: Tech Radar

Tujuh remaja ditangkap sehubungan dengan kelompok peretasan Lapsus$

by

Polisi Kota London telah menangkap tujuh remaja karena dicurigai memiliki hubungan dengan kelompok peretas yang diyakini sebagai kelompok Lapsus$ yang baru-baru ini berkembang biak, lapor BBC News.

“Kepolisian Kota London telah melakukan penyelidikan dengan mitranya terhadap anggota kelompok peretasan,” kata Inspektur Detektif Michael O’Sullivan dari Kepolisian Kota London dalam sebuah pernyataan kepada The Verge. “Tujuh orang berusia antara 16 dan 21 telah ditangkap sehubungan dengan penyelidikan ini dan semuanya telah dibebaskan untuk diselidiki. Penyelidikan kami tetap berlangsung.”

Lapsus$ telah bertanggung jawab atas beberapa pelanggaran keamanan besar di perusahaan teknologi, termasuk Nvidia, Samsung, Ubisoft, Okta, dan Microsoft. Pada hari Rabu, muncul laporan yang menunjukkan seorang remaja yang berbasis di Oxford adalah dalang dari kelompok tersebut. Polisi Kota London tidak mengatakan apakah remaja ini termasuk di antara mereka yang ditangkap.

Setidaknya satu anggota Lapsus$ juga tampaknya terlibat dengan pelanggaran data di EA, pakar keamanan siber Brian Krebs melaporkan pada hari Rabu dalam sebuah artikel ekstensif tentang grup tersebut. Vice menguatkan keterlibatan kelompok dalam pelanggaran itu dalam artikelnya sendiri pada hari Kamis, mencatat bahwa itu adalah “lambang dari peretasan Lapsus$ berikutnya dan besar-besaran.”

Identitas tersangka dalang itu rupanya terungkap oleh pelanggan yang marah dan memarahinya. Menurut laporan Krebs, pemimpin kelompok tersebut membeli Doxbin, sebuah situs di mana orang dapat berbagi atau menemukan informasi pribadi tentang orang lain, tahun lalu, tetapi pemilik situs tersebut adalah pemilik yang buruk. Dia tampaknya menyerahkan kendali pada Januari tetapi membocorkan “seluruh kumpulan data Doxbin” ke Telegram, dan komunitas Doxbin membalas dengan membocorkannya.

BBC News mengatakan telah berbicara dengan ayah remaja itu, yang tampaknya tidak menyadari keterlibatannya dengan kelompok itu.

“Saya belum pernah mendengar tentang semua ini sampai baru-baru ini. Dia tidak pernah berbicara tentang peretasan apa pun, tetapi dia sangat mahir menggunakan komputer dan menghabiskan banyak waktu di depan komputer,” kata sang ayah, menurut BBC News. “Saya selalu berpikir dia sedang bermain game. Kami akan mencoba menghentikannya menggunakan komputer.”

Sumber : The Verge

Microsoft Menyelidiki Klaim Pelanggaran oleh Geng Pemerasan

by

Microsoft sedang menyelidiki klaim bahwa kelompok peretasan yang berfokus pada pemerasan yang sebelumnya membahayakan perusahaan besar seperti Ubisoft dan Nvidia telah memperoleh akses ke sistem internal Microsoft, menurut sebuah pernyataan dari perusahaan.

Kelompok peretas, yang menggunakan nama sendiri LAPSUS$, telah berhasil menembus gelombang perusahaan baru-baru ini. LAPSUS$ terkadang membuat permintaan tebusan yang tidak biasa dari para korbannya, termasuk meminta Nvidia untuk membuka kunci aspek kartu grafisnya agar lebih cocok untuk menambang cryptocurrency. Kelompok tersebut sejauh ini tidak membuat tuntutan publik terhadap Microsoft.

Pada hari Minggu, LAPSUS$ memposting tangkapan layar yang tampaknya merupakan akun pengembang internal Microsoft ke saluran Telegram mereka. Tangkapan layar tampaknya berasal dari akun Azure DevOps, produk yang ditawarkan Microsoft yang memungkinkan pengembang berkolaborasi dalam proyek.

Proyek khusus yang ditampilkan di tangkapan layar termasuk “Bing_UX,” yang berpotensi merujuk pada pengalaman pengguna mesin pencari Bing Microsoft; “Bing-Source,” menunjukkan akses ke kode sumber mesin pencari; dan “Cortana,” asisten cerdas Microsoft. Bagian lain termasuk “mscomdev,” “microsoft,” dan “msblox,” menunjukkan siapa pun yang mengambil tangkapan layar mungkin memiliki akses ke repositori kode lain juga.

Apakah Anda tahu hal lain tentang pelanggaran ini atau yang lainnya? Kami akan senang mendengar dari Anda. Menggunakan telepon atau komputer non-kerja, Anda dapat menghubungi Joseph Cox dengan aman di Signal di +44 20 8133 5190, Wickr di josephcox, atau mengirim email ke joseph.cox@vice.com.

Tak lama setelah memposting tangkapan layar, administrator saluran Telegram LAPSUS$ menghapus gambar tersebut.

Awal bulan ini, grup tersebut mengatakan di saluran Telegramnya bahwa mereka sedang mencari karyawan di dalam perusahaan yang bersedia bekerja dengan mereka, termasuk Microsoft.

SCREENSHOT YANG DIUPLOAD OLEH LAPSUS$. GAMBAR: TELEGRAM.

Sejak Desember, kelompok tersebut telah melanggar Kementerian Kesehatan Brasil, sejumlah perusahaan Brasil dan Portugis, dan kemudian Nvidia dan Samsung masing-masing pada bulan Februari dan Maret, menurut garis waktu serangan LAPSUS yang diterbitkan oleh perusahaan keamanan siber Silent Push. Kelompok itu juga tampaknya mengambil pujian karena melanggar Ubisoft bulan ini.

Selama beberapa serangannya, kelompok tersebut meminta pembayaran sebagai imbalan untuk tidak membocorkan data internal yang telah dicuri dari para korban. Dalam kasus NVIDIA, para peretas menuntut agar perusahaan membuka sumber driver GPU-nya dan menghapus batasan pada kartu 30-seri di sekitar penambangan Ethereum, The Verge melaporkan pada saat itu. Di grup Telegramnya, LAPSUS$ juga mengklaim bahwa NVIDIA, atau seseorang yang bekerja atas namanya, meretas serangan dan mencoba mengenkripsi materi yang dicuri. Kelompok tersebut akhirnya membocorkan beberapa data NVIDIA serta data yang dicuri dari Samsung.

LAPSUS$ mungkin juga bertanggung jawab atas peretasan raksasa game Electronic Arts, meskipun peretas tidak menggunakan nama LUPSUS$ sampai setelah Motherboard mengungkapkan pelanggaran itu Juni lalu. Dalam posting selanjutnya di forum bawah tanah, seorang pengguna menulis “kredit sebenarnya adalah untuk LAPSUS$, kami akan membocorkan lebih banyak barang.”

Dalam email ke Motherboard, Stefano De Blasi, analis riset ancaman siber di perusahaan keamanan siber Digital Shadows, menunjukkan dua hal yang membuat LAPSUS$ berbeda dari geng pemerasan biasa. Pertama, kelompok tersebut tidak pernah benar-benar menyebarkan ransomware, melainkan mengekstrak data dan menggunakannya untuk memeras target. Ini memungkinkan grup untuk bergerak lebih diam-diam, kata De Blasi. De Blasi juga menunjuk pada kehadiran interaktif LAPSUS$ di Telegram, dan khususnya pesan grup dengan pengikutnya.

Sumber : Vice