Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Peretas Ransomware Black Basta Menyusup ke Jaringan melalui Qakbot untuk Menyebarkan Brute Rate C4

by

Pelaku ancaman di balik keluarga ransomware Black Basta telah diamati menggunakan trojan Qakbot untuk menyebarkan kerangka kerja Brute Ratel C4 sebagai payload tahap kedua dalam serangan baru-baru ini.

Perkembangan tersebut menandai pertama kalinya perangkat lunak simulasi musuh yang baru lahir dikirimkan melalui infeksi Qakbot.

Penyusupan, dicapai dengan menggunakan email phishing yang berisi tautan senjata yang menunjuk ke arsip ZIP, selanjutnya memerlukan penggunaan Cobalt Strike untuk gerakan lateral.

Sementara utilitas yang sah ini dirancang untuk melakukan aktivitas pengujian penetrasi, kemampuan mereka untuk menawarkan akses jarak jauh telah menjadikannya alat yang menguntungkan di tangan penyerang yang ingin menyelidiki secara diam-diam lingkungan yang disusupi tanpa menarik perhatian untuk waktu yang lama.

Ini telah diperparah oleh fakta bahwa versi Brute Ratel C4 yang telah di-crack mulai beredar bulan lalu di seluruh kejahatan dunia maya bawah tanah, mendorong pengembangnya untuk memperbarui algoritme lisensi agar lebih sulit untuk diretas.

Qakbot, juga disebut QBot dan QuackBot, adalah pencuri informasi dan trojan perbankan yang diketahui aktif sejak 2007. Namun desain modularnya dan kemampuannya untuk bertindak sebagai pengunduh telah mengubahnya menjadi kandidat yang menarik untuk menjatuhkan malware tambahan.

Menurut Trend Micro, file ZIP dalam email berisi file ISO, yang, pada gilirannya, mencakup file LNK yang mengambil muatan Qakbot, yang menggambarkan upaya sebagian pelaku ancaman untuk beradaptasi dengan taktik lain setelah keputusan Microsoft untuk blokir makro secara default untuk dokumen yang diunduh dari web.

Infeksi Qakbot digantikan oleh pengambilan Brute Ratel dan Cobalt Strike, tetapi tidak sebelum melakukan pengintaian otomatis melalui alat baris perintah bawaan seperti arp, ipconfig, nslookup, netstat, dan whoami.

Dalam rantai eksekusi Qakbot lain yang ditemukan oleh perusahaan keamanan siber, file ZIP dikirimkan melalui metode yang semakin populer yang disebut penyelundupan HTML, yang mengakibatkan eksekusi Brute Rate C4 sebagai tahap kedua.

Temuan ini bertepatan dengan kebangkitan serangan Qakbot dalam beberapa bulan terakhir melalui berbagai teknik seperti lampiran file HTML, pemuatan samping DLL, dan pembajakan utas email, yang terakhir melibatkan pengumpulan email secara massal dari serangan ProxyLogon yang sukses yang ditujukan untuk Microsoft. Server pertukaran.

Qakbot jauh dari satu-satunya malware access-as-a-service yang semakin didistribusikan melalui ISO dan format file lain untuk mengatasi pembatasan makro, karena kampanye Emotet, IcedID, dan Bumblebee semuanya mengikuti lintasan yang sama.

Palo Alto Networks Unit 42, pada akhir September 2022, mengatakan telah menemukan file polyglot berbahaya Microsoft Compiled HTML Help (CHM) yang digunakan untuk mengirimkan malware IcedID (alias BokBot).

Metode pengiriman dan jalur infeksi terkemuka lainnya telah melibatkan penggunaan file ZIP yang dilindungi kata sandi yang berisi file ISO, yang mencerminkan file Qakbot, dengan muatan yang disebarkan melalui layanan bayar per penginstal yang dikenal sebagai PrivateLoader, menurut Tim Cymru.

Dan, di atas semua itu, Emotet tampaknya bersiap untuk serangkaian serangan baru setelah jeda singkat selama tiga bulan untuk mengerjakan ulang modul “systeminfo” untuk “meningkatkan penargetan korban tertentu dan membedakan bot pelacak dari pengguna nyata,” ungkap ESET dalam serangkaian tweet.

Sumber: The Hackernews

Bagaimana kesalahan Microsoft membuka jutaan PC untuk serangan malware yang kuat

by

Selama hampir dua tahun, Microsoft merusak pertahanan utama Windows yang membuat pelanggan terbuka terhadap teknik infeksi malware yang sangat efektif dalam beberapa bulan terakhir.

Microsoft dengan tegas menegaskan bahwa Pembaruan Windows akan secara otomatis menambahkan driver perangkat lunak baru ke daftar blokir yang dirancang untuk menggagalkan trik terkenal di buku pedoman infeksi malware.

Teknik malware dikenal sebagai BYOVD, kependekan dari “bawa driver Anda sendiri yang rentan” memudahkan penyerang dengan kontrol administratif untuk melewati perlindungan kernel Windows. Penyerang hanya menginstal salah satu dari lusinan driver pihak ketiga dengan kerentanan yang diketahui. Kemudian penyerang mengeksploitasi kerentanan tersebut untuk mendapatkan akses instan ke beberapa wilayah Windows yang paling dibentengi.

Namun, ternyata Windows tidak mengunduh dan menerapkan pembaruan dengan benar ke daftar blokir driver, yang membuat pengguna rentan terhadap serangan BYOVD baru.

Driver biasanya memungkinkan komputer untuk bekerja dengan printer, kamera, atau perangkat periferal lainnya—atau untuk melakukan hal lain seperti menyediakan analisis tentang fungsi perangkat keras komputer. Agar banyak driver dapat bekerja, mereka memerlukan saluran langsung ke kernel, inti dari sistem operasi tempat kode paling sensitif berada. Untuk alasan ini, Microsoft sangat membentengi kernel dan mengharuskan semua driver ditandatangani secara digital dengan sertifikat yang memverifikasi bahwa mereka telah diperiksa dan berasal dari sumber tepercaya.

Meski begitu, bagaimanapun, driver yang sah terkadang mengandung kerentanan kerusakan memori atau kelemahan serius lainnya yang, ketika dieksploitasi, memungkinkan peretas untuk menyalurkan kode berbahaya mereka langsung ke kernel. Bahkan setelah pengembang menambal kerentanan, driver lama dan buggy tetap menjadi kandidat yang sangat baik untuk serangan BYOVD karena sudah ditandatangani. Dengan menambahkan driver semacam ini ke alur eksekusi serangan malware, peretas dapat menghemat waktu pengembangan dan pengujian selama bermingguminggu.

YOVD telah menjadi fakta kehidupan setidaknya selama satu dekade. Malware yang dijuluki “Slingshot” menggunakan BYOVD setidaknya sejak 2012, dan pendatang awal lainnya ke adegan BYOVD termasuk LoJax, InvisiMole, dan RobbinHood.

Salah satu serangan semacam itu akhir tahun lalu dilakukan oleh kelompok Lazarus yang didukung pemerintah Korea Utara. Itu menggunakan driver Dell yang dinonaktifkan dengan kerentanan tingkat tinggi untuk menargetkan karyawan perusahaan kedirgantaraan di Belanda dan jurnalis politik di Belgia.

Dalam serangan BYOVD terpisah beberapa bulan lalu, penjahat dunia maya memasang ransomware BlackByte dengan menginstal dan kemudian mengeksploitasi driver buggy untuk MSI AfterBurner 4.6.2.15658 MicroStar, sebuah utilitas overclocking kartu grafis yang banyak digunakan.

Microsoft sangat menyadari ancaman BYOVD dan telah bekerja pada pertahanan untuk menghentikan serangan ini, terutama dengan membuat mekanisme untuk menghentikan Windows memuat driver yang ditandatangani tetapi rentan.

Mekanisme paling umum untuk pemblokiran driver menggunakan kombinasi dari apa yang disebut integritas memori dan HVCI, kependekan dari HypervisorProtected Code Integrity. Mekanisme terpisah untuk mencegah driver buruk ditulis ke disk dikenal sebagai ASR, atau Attack Surface Reduction.

Sumber: Arstechnica

Enkripsi email Microsoft Office 365 dapat mengekspos konten pesan

by

Peneliti keamanan di WithSecure, sebelumnya F-Secure Business, menemukan bahwa sebagian atau seluruh isi pesan terenkripsi yang dikirim melalui Microsoft Office 365 dimungkinkan untuk disadap karena penggunaan mode operasi sandi blok yang lemah.

Organisasi menggunakan Enkripsi Pesan Office 365 untuk mengirim atau menerima email, baik eksternal maupun internal, untuk memastikan kerahasiaan konten dari tujuan ke sumber.

Namun, fitur tersebut mengenkripsi data menggunakan mode Buku Kode Elektronik (ECB), yang memungkinkan menyimpulkan pesan teks biasa dalam kondisi tertentu.

Masalah utama dengan ECB adalah bahwa area berulang dalam data plaintext memiliki hasil terenkripsi yang sama ketika kunci yang sama digunakan, sehingga menciptakan sebuah pola.

Masalah ini disorot setelah pelanggaran data besar-besaran Adobe pada tahun 2013 ketika puluhan juta kata sandi bocor dan para peneliti menemukan bahwa perusahaan menggunakan mode ECB untuk mengenkripsi data, sehingga memungkinkan untuk mendapatkan kata sandi teks biasa.

Kelemahan ini kembali disorot pada tahun 2020 ketika ditemukan bahwa aplikasi telekonferensi Zoom yang banyak digunakan menggunakan kunci 128-bit yang sama untuk mengenkripsi semua audio dan video menggunakan algoritma AES dengan mode ECB.

Harry Sintonen dari WithSecure menggarisbawahi bahwa dengan Enkripsi Pesan Office 365, konten pesan terenkripsi tidak dapat diuraikan secara langsung, tetapi informasi struktural tentang pesan tersebut dapat ditangkap.

Penyerang yang dapat mengumpulkan beberapa pesan terenkripsi dapat mencari pola yang dapat menyebabkan bagian-bagian pesan menjadi dapat dibaca secara bertahap tanpa memerlukan kunci enkripsi.

Selengkapnya: Bleeping Computer

Hampir 900 server diretas menggunakan Zimbra zero-day flaw

by

Hampir 900 server telah diretas menggunakan kerentanan kritis Zimbra Collaboration Suite (ZCS), yang pada saat itu adalah zero-day tanpa patch selama hampir 1,5 bulan.

Kerentanan yang dilacak sebagai CVE-2022-41352 adalah kelemahan eksekusi kode jarak jauh yang memungkinkan penyerang mengirim email dengan lampiran arsip berbahaya yang menanam web shell di server ZCS sementara, pada saat yang sama, melewati pemeriksaan antivirus.

Menurut perusahaan keamanan siber Kaspersky, berbagai kelompok APT (ancaman persisten lanjutan) secara aktif mengeksploitasi kelemahan tersebut segera setelah dilaporkan di forum Zimbra.

Kaspersky mengatakan kepada BleepingComputer bahwa mereka mendeteksi setidaknya 876 server yang disusupi oleh penyerang canggih yang memanfaatkan kerentanan sebelum dipublikasikan secara luas dan menerima pengenal CVE.

Pekan lalu, laporan Rapid7 memperingatkan tentang eksploitasi aktif CVE-2022-41352 dan mendesak admin untuk menerapkan solusi yang tersedia karena pembaruan keamanan tidak tersedia saat itu.

Pada hari yang sama, bukti konsep (PoC) ditambahkan ke kerangka Metasploit, memungkinkan peretas dengan keterampilan rendah untuk meluncurkan serangan efektif terhadap server yang rentan.

Zimbra telah merilis perbaikan keamanan dengan ZCS versi 9.0.0 P27, mengganti komponen rentan (cpio) dengan Pax dan menghapus bagian lemah yang memungkinkan eksploitasi.

Namun, eksploitasi telah mengambil langkah pada saat itu, dan banyak aktor ancaman sudah mulai meluncurkan serangan oportunistik.

Volexity melaporkan kemarin bahwa analisnya telah mengidentifikasi sekitar 1.600 server ZCS yang mereka yakini telah disusupi oleh pelaku ancaman yang memanfaatkan CVE-2022-41352 untuk menanam webshell.

Selengkapnya: Bleeping Computer

Perusahaan asuransi Australia membuat sistem offline karena kemungkinan peretasan

by

Salah satu perusahaan asuransi kesehatan swasta terbesar di Australia telah membuat sistem offline menyusul kemungkinan serangan siber, hanya beberapa minggu setelah sebuah perusahaan telekomunikasi besar terjebak dalam salah satu pelanggaran data terburuk di negara itu.

Medibank Group mengatakan pada hari Kamis bahwa pihaknya telah melibatkan pakar keamanan siber dan mengambil langkah-langkah untuk melindungi sistemnya setelah mendeteksi “aktivitas yang tidak biasa di jaringannya”.

Perusahaan asuransi, yang memiliki hampir empat juta pelanggan di Australia, mengatakan belum menemukan bukti bahwa data sensitif telah diakses dalam insiden tersebut.

“Sebagai bagian dari tanggapan kami terhadap insiden ini, Medibank akan mengisolasi dan menghapus akses ke beberapa sistem yang dihadapi pelanggan untuk mengurangi kemungkinan kerusakan sistem atau kehilangan data,” kata perusahaan itu dalam sebuah pernyataan.

CEO Medibank David Koczkar menawarkan permintaan maaf dan mengatakan perusahaan itu “bekerja sepanjang waktu” untuk memahami sifat insiden dan bagaimana pelanggan mungkin terpengaruh.

Insiden itu terjadi kurang dari sebulan setelah Optus, operator telekomunikasi terbesar kedua di Australia, mengumumkan bahwa mereka telah menjadi sasaran serangan siber yang berpotensi membahayakan data pribadi hingga 10 juta pelanggan.

Optus, yang dimiliki oleh Singtel Singapura, dapat menghadapi denda jutaan dolar oleh regulator Australia atas pelanggaran data, yang mencakup nama pelanggan, tanggal lahir, nomor telepon, dan nomor paspor.

Pekan lalu, Singtel mengumumkan bahwa unit Australia lainnya, perusahaan layanan konsultasi TI Dialog, telah mengalami serangan siber yang berpotensi memengaruhi data milik 1.000 karyawan dan mantan karyawan dan kurang dari dua lusin klien.

Sumber: Aljazeera

Spyware ‘Zero-Click’ Muncul sebagai Ancaman Seluler yang Mengancam

by

Pada Juli 2020, iPhone seorang jurnalis Azerbaijan diam-diam menerima perintah untuk membuka aplikasi Apple Music. Tanpa sepengetahuan atau interaksi jurnalis, aplikasi tersebut terhubung ke server jahat dan mengunduh spyware ke ponsel yang tetap berada di sana selama 17 bulan, menguping panggilan telepon dan pesan teks.

Peretasan itu adalah contoh serangan “zero-click” metode menempatkan spyware di ponsel tanpa menipu pengguna untuk melakukan apa pun, seperti mengklik tautan jahat yang dikirim dalam email atau pesan teks. Teknik tersebut digunakan pemerintah untuk menargetkan lawan mereka dalam skala yang lebih besar dan untuk durasi yang lebih lama daripada yang diketahui sebelumnya, menurut penelitian terbaru dari Amnesty International dan Citizen Lab.

Beberapa pemerintah telah menyalahgunakan spyware NSO dikenal sebagai Pegasus untuk menargetkan kritik di lebih dari selusin negara, kata kelompok hak asasi.

NSO telah membantu pemerintah meretas ponsel dengan malware zero-click setidaknya sejak Juli 2017 dan telah menggunakan setidaknya enam eksploitasi zero-click berbeda yang digunakan untuk meretas Apple iOS versi 10 hingga 14 secara diam-diam, menurut penelitian Amnesty dan Citizen Lab, yang dipresentasikan pada konferensi Virus Bulletin di Praha pada 28 September.

Serangan zero-click bekerja dengan memanfaatkan kerentanan keamanan di perangkat Apple, dalam beberapa kasus mengirimkan iMessage yang akan memaksa ponsel untuk terhubung ke situs web berbahaya tanpa keterlibatan pengguna, menurut penelitian. Cacat dieksploitasi di iMessage, podcast Apple dan aplikasi musik, foto Apple dan fitur panggilan Wi-Fi, para peneliti menemukan.

NSO Group juga merancang serangan tanpa klik yang dapat membahayakan ponsel Android dengan mengeksploitasi kelemahan di WhatsApp yang digunakan untuk mengirimkan kode berbahaya ke perangkat. Pada April 2019, WhatsApp memperbaiki kerentanan dengan mengatakan telah digunakan untuk menargetkan lebih dari 1.400 orang selama periode dua bulan dan mengajukan gugatan terhadap NSO Group.

Amnesty dan Citizen Lab mengatakan mereka menemukan bukti yang menunjukkan bahwa NSO telah menggunakan eksploitasi zero-click WhatsApp pada awal Juli 2018, hampir sembilan bulan sebelum diperbaiki, menunjukkan bahwa itu digunakan untuk menargetkan lebih banyak orang daripada 1.400 orang.

Ada indikasi bahwa peneliti keamanan dapat mengganggu operasi NSO Group dan segelintir perusahaan lain yang menjual alat peretasan tanpa klik kepada pemerintah. Pada Juli 2019, sebuah tim di Project Zero Google menemukan kerentanan di iMessage yang dapat digunakan untuk peretasan tanpa klik, yang kemudian diperbaiki oleh Apple.

Penemuan itu tampaknya berdampak pada NSO Group, untuk sementara mengganggu kemampuan pelanggannya untuk menyusup ke beberapa ponsel.

Sumber: Bloomberg

Bug Kritis di PLC SIMATIC Siemens Dapat Membiarkan Penyerang Mencuri Kunci Kriptografis

by

Kerentanan di Siemens Simatic Programmable Logic Controller (PLC) dapat dieksploitasi untuk mengambil kunci kriptografi pribadi global yang dikodekan secara keras dan mengambil kendali perangkat.

Kerentanan kritis, diberi pengenal CVE-2022-38465, diberi peringkat 9,3 pada skala penilaian CVSS dan telah ditangani oleh Siemens sebagai bagian dari pembaruan keamanan yang dikeluarkan pada 11 Oktober 2022.

Daftar produk dan versi yang terpengaruh ada di bawah –

  • Keluarga Pengendali Drive SIMATIC (semua versi sebelum 2.9.2)
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC2, termasuk varian SIPLUS (semua versi sebelum 21.9)
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC, termasuk varian SIPLUS (semua versi)
  • Keluarga CPU SIMATIC S7-1200, termasuk varian SIPLUS (semua versi sebelum 4.5.0)
  • Keluarga CPU SIMATIC S7-1500, termasuk CPU ET200 terkait dan varian SIPLUS (semua versi sebelum V2.9.2)
  • Pengontrol Perangkat Lunak SIMATIC S7-1500 (semua versi sebelum 21.9), dan SIMATIC S7-PLCSIM Lanjutan (semua versi sebelum 4.0)

Claroty mengatakan bahwa ia bisa mendapatkan hak baca dan tulis ke pengontrol dengan mengeksploitasi kelemahan yang diungkapkan sebelumnya di PLC Siemens (CVE-2020-15782), yang memungkinkan pemulihan kunci pribadi.

Melakukan hal itu tidak hanya akan mengizinkan penyerang untuk menghindari kontrol akses dan mengesampingkan kode asli, tetapi juga mendapatkan kontrol penuh atas setiap PLC per lini produk Siemens yang terpengaruh.

CVE-2022-38465 mencerminkan kelemahan parah lainnya yang diidentifikasi dalam Rockwell Automation PLCs (CVE-2021-22681) tahun lalu dan yang dapat memungkinkan musuh untuk terhubung dari jarak jauh ke pengontrol, dan mengunggah kode berbahaya, mengunduh informasi dari PLC, atau instal firmware baru.

Sebagai solusi dan mitigasi, Siemens merekomendasikan pelanggan untuk menggunakan komunikasi PG/PC dan HMI lama hanya di lingkungan jaringan tepercaya dan akses aman ke Portal TIA dan CPU untuk mencegah koneksi yang tidak sah.

Perusahaan manufaktur industri Jerman juga telah mengambil langkah untuk mengenkripsi komunikasi antara stasiun teknik, PLC, dan panel HMI dengan Transport Layer Security (TLS) di TIA Portal versi 17, sambil memperingatkan bahwa “kemungkinan pelaku jahat menyalahgunakan kunci pribadi global sebagai meningkat.”

Temuan ini merupakan yang terbaru dari serangkaian kelemahan utama yang ditemukan pada perangkat lunak yang digunakan dalam jaringan industri. Awal Juni ini, Claroty merinci lebih dari selusin masalah dalam sistem manajemen jaringan (NMS) Siemens SINEC yang dapat disalahgunakan untuk mendapatkan kemampuan eksekusi kode jarak jauh.

Kemudian pada April 2022, perusahaan membuka dua kerentanan di Rockwell Automation PLCs (CVE-2022-1159 dan CVE-2022-1161) yang dapat dieksploitasi untuk memodifikasi program pengguna dan mengunduh kode berbahaya ke pengontrol.

Sumber: The Hackernews

Aplikasi Android WhatsApp tidak resmi tertangkap mencuri akun pengguna

by

Versi baru dari aplikasi WhatsApp Android tidak resmi bernama ‘YoWhatsApp’ telah ditemukan mencuri kunci akses untuk akun pengguna.

YoWhatsApp adalah aplikasi messenger yang berfungsi penuh yang menggunakan izin yang sama dengan aplikasi WhatsApp standar dan dipromosikan melalui iklan di aplikasi Android populer seperti Snaptube dan Vidmate. YoWhatsApp memiliki kemampuan untuk menyesuaikan antarmuka atau memblokir akses ke obrolan, sehingga menarik bagi pengguna untuk menginstal.

Namun, kini telah ditemukan bahwa YoWhatsApp v2.22.11.75 mengambil kunci WhatsApp, memungkinkan pelaku ancaman untuk mengontrol akun pengguna.

Kampanye YoWhatsApp ditemukan oleh analis ancaman di Kaspersky, yang telah menyelidiki kasus Trojan Triada yang bersembunyi di dalam versi WhatsApp yang dimodifikasi sejak tahun lalu.

Menurut sebuah laporan yang diterbitkan hari ini, aplikasi modded mengirimkan kunci akses WhatsApp pengguna ke server jarak jauh pengembang.

Meskipun Kaspersky belum menyatakan apakah kunci akses yang dicuri ini telah disalahgunakan, mereka dapat menyebabkan pengambilalihan akun, pengungkapan komunikasi sensitif dengan kontak pribadi, dan peniruan identitas untuk menutup kontak.

Seperti aplikasi WhatsApp Android yang sebenarnya, aplikasi jahat tersebut meminta izin, seperti mengakses SMS, yang juga diberikan kepada Triada Trojan yang tertanam di aplikasi tersebut.

Kaspersky mengatakan trojan dapat menyalahgunakan izin ini untuk mendaftarkan korban ke langganan premium tanpa mereka sadari dan menghasilkan pendapatan bagi distributor.

YoWhatsApp yang dimodifikasi dipromosikan melalui iklan di Snaptube, pengunduh video yang sangat populer yang telah mengalami malvertising di masa lalu.

Iklan yang mempromosikan versi YoWhatsApp berbahaya (Kaspersky)

Kaspersky telah memberi tahu Snaptube tentang penjahat dunia maya yang mendorong aplikasi jahat melalui platform iklannya, sehingga saluran distribusi ini harus segera ditutup.

Aplikasi berbahaya ini menawarkan fitur tambahan seperti antarmuka yang dapat disesuaikan, blok ruang obrolan individual, dan hal-hal lain yang tidak tersedia di klien WhatsApp tetapi banyak orang ingin memilikinya.

Kaspersky juga menemukan klon YoWhatsApp bernama “WhatsApp Plus,” yang menampilkan fungsi berbahaya yang sama, menyebar melalui aplikasi VidMate, mungkin tanpa diketahui oleh pembuatnya.

Aplikasi WhatsApp Plus sama dengan YoWhatsApp
(Kaspersky)

Dalam hal ini, aplikasi yang mempromosikan versi WhatsApp berbahaya hanya dapat diunduh dalam bentuk APK di luar Google Play Store, yang juga merupakan praktik yang harus dihindari.

Triada dapat menggunakan kunci ini untuk mengirim spam berbahaya sebagai akun curian, memanfaatkan orang-orang yang mempercayai lingkaran kecil teman dan keluarga mereka.

Oleh karena itu, berhati-hatilah terhadap pesan langsung dari kontak yang mempromosikan perangkat lunak atau meminta Anda untuk mengklik tautan yang tidak biasa.

Sumber: Bleeping Computer