Perekrut Palsu Memancing Karyawan Dirgantara dengan Coding Challenge Berbahaya
(welivesecurity.com)- Karyawan perusahaan dirgantara Spanyol dihubungi Lazarus di LinkedIn yang menyamar sebagai perekrut Meta, dan infiltrasi awal terjadi ketika mereka menjalankan file yang tampak seperti tes rekrutmen di perangkat perusahaan
- Tugas berbahaya dikirim sebagai
Quiz1.exedanQuiz2.exe, dan setelah menampilkan “Hello, World!” serta deret Fibonacci, keduanya memicu pemasangan payload tambahan dari image ISO - Setelah infiltrasi, NickelLoader, miniBlindingCan, dan RAT baru LightlessCan disebarkan melalui DLL sideloading, dan ESET mengatribusikannya dengan keyakinan tinggi pada aktivitas Lazarus terkait Operation DreamJob
- LightlessCan tampak sebagai penerus BlindingCan, dan meniru fungsi perintah Windows seperti
ipconfig,net,ping,systeminfo, danscdi dalam RAT untuk mengurangi jejak eksekusi konsol - Sasaran serangan adalah spionase siber, dan metode perintah tertanam serta guardrail eksekusi yang membuat dekripsi hanya bisa dilakukan di perangkat korban makin mempersulit deteksi real-time dan analisis forensik pascainsiden
Infiltrasi awal yang dimulai dari umpan rekrutmen LinkedIn
- Lazarus menghubungi beberapa karyawan perusahaan dirgantara Spanyol melalui LinkedIn Messaging
- Penyerang menyamar sebagai perekrut dari Meta, induk Facebook, Instagram, dan WhatsApp
- Mereka menggunakan permintaan untuk membuktikan kemampuan pemrograman C++ sebagai bagian dari proses rekrutmen
- Korban mengunduh
Quiz1.isodanQuiz2.isodari cloud storage pihak ketiga, lalu menjalankan file executable di dalamnya pada perangkat perusahaanQuiz1.exe: menyamar sebagai tugas sederhana yang mencetak “Hello, World!”Quiz2.exe: menyamar sebagai tugas yang mencetak deret Fibonacci hingga elemen terbesar yang lebih kecil dari nilai masukan- Kedua executable memproses input dan output seperti aplikasi konsol normal, lalu memulai pemasangan payload berbahaya tambahan
- Payload pertama adalah downloader HTTP(S) yang diberi nama NickelLoader oleh ESET
- NickelLoader dapat mengirimkan program pilihan penyerang ke memori komputer korban
Dasar atribusi Lazarus dan Operation DreamJob
- ESET mengatribusikan serangan di Spanyol ini dengan keyakinan tinggi kepada Lazarus, khususnya aktivitas terkait Operation DreamJob
- Malware, infrastruktur, dan targetnya tumpang tindih dengan kampanye Lazarus sebelumnya
- Metode menghubungi lewat LinkedIn lalu mendorong eksekusi file berbahaya yang menyamar sebagai tes rekrutmen adalah taktik yang telah digunakan Lazarus sejak Operation DreamJob
- Varian baru intermediate loader dan backdoor keluarga BlindingCan yang teridentifikasi dalam kasus Belanda tahun 2022 juga diamati
- Tool mereka menggunakan enkripsi AES-128 dan RC6 dengan kunci 256-bit, yang juga dipakai dalam kampanye bertema Amazon
- Alih-alih membangun server C&C tahap 1 sendiri, penyerang menggunakan situs web yang sudah ada dengan keamanan lemah atau pemeliharaan buruk setelah lebih dulu mengompromikannya
- Pencurian know-how perusahaan dirgantara sejalan dengan tujuan jangka panjang Lazarus
- Laporan PBB membahas bahwa kelompok APT terkait Korea Utara menyerang perusahaan dirgantara untuk mengakses teknologi sensitif dan pengetahuan kedirgantaraan
Susunan tool pascainfiltrasi
- Setelah NickelLoader dijalankan, penyerang menyebarkan dua jenis RAT ke sistem korban
- miniBlindingCan: varian dengan fungsi yang dipangkas dari backdoor BlindingCan yang dikenal sebagai tool Lazarus
- LightlessCan: RAT baru yang sebelumnya belum didokumentasikan secara publik
- Rantai eksekusinya terdiri dari beberapa tahap dengan tingkat kompleksitas berbeda, dengan dropper dan loader ditempatkan sebelum eksekusi RAT final
- Dropper menyertakan payload tertanam, dan dapat memuat serta mengeksekusinya langsung dari memori tanpa menulis ke file system
- Loader memuat payload dari file system tanpa array terenkripsi tertanam
- Sebagian besar file utama menggunakan struktur DLL sideloading di mana executable normal memuat DLL berbahaya
PresentationHost.exe+mscoree.dll: berbasis NppyPluginDll yang ditrojanisasi, mengirimkan NickelLoadercolorcpl.exe+colorui.dll: berbasis LibreSSL 2.6.5, mengirimkan miniBlindingCanfixmapi.exe+mapistub.dll: berbasis Lua plugin 1.4.0.0 untuk Notepad++, mengirimkan LightlessCantabcal.exe+HID.dll: berbasis MZC8051 3.2 untuk Notepad++, mengirimkan LightlessCan
Karakteristik utama LightlessCan
- LightlessCan tampak sebagai penerus BlindingCan, RAT HTTP(S) milik Lazarus, dan nomor versi internal versi saat ini adalah
1.0 - Dikonfigurasi untuk mendukung hingga 68 perintah, dan pada versi saat ini 43 di antaranya sudah diimplementasikan
- Perintah sisanya ada dalam bentuk placeholder tetapi tidak memiliki fungsi nyata
- Urutan perintah yang sama sebagian besar dipertahankan, sehingga tampak berbasis source code BlindingCan
- Perubahan terbesar adalah pendekatan meniru fungsi berbagai perintah bawaan Windows di dalam RAT itu sendiri
- Contoh perintah yang diimplementasikan meliputi
ipconfig,net,netsh advfirewall,netstat,ping,reg,sc,tasklist,wmic process call create,nslookup,schtasks,systeminfo,arp,mkdir, dan lain-lain - Dalam serangan Lazarus sebelumnya, perintah-perintah seperti ini kerap dijalankan berkali-kali di konsol setelah penyerang memperoleh pijakan di sistem
- Pendekatan kali ini memproses semuanya di dalam RAT tanpa mengeksekusi utilitas konsol asli secara mencolok, sehingga mempersulit deteksi oleh pemantauan real-time seperti EDR dan tool forensik digital pascainsiden
- Contoh perintah yang diimplementasikan meliputi
- ESET menilai besar kemungkinan pengembang LightlessCan melakukan reverse engineering pada binary closed-source untuk meniru utilitas inti Windows
- Proyek Wine juga memiliki implementasi untuk berbagai program, tetapi beberapa fungsi yang ditiru LightlessCan berbeda dari implementasi Wine atau bahkan tidak ada di sana
Rantai infiltrasi NickelLoader
- NickelLoader adalah downloader HTTP(S) yang berjalan di sistem terinfeksi dan digunakan untuk mengirimkan payload Lazarus berikutnya
- Saat korban menjalankan executable kuis secara manual,
PresentationHost.exeotomatis dijalankan, danmscoree.dllberbahaya dari jalurC:\ProgramShared\yang sama dimuat melalui sideloadingmscoree.dlladalah file yang men-trojanisasiNppyPluginDll.dlldari proyek General Python Plugins DLL for Notepad++ yang dihentikan pada 2011- File tersebut berisi export dari
mscoree.dllyang sah dan export dariNppyPluginDll.dllasli, sementara kode berbahaya ada pada exportCorExitProcess
- Tiga kata kunci 16 karakter diperlukan untuk mendekripsi array terenkripsi tertanam
- nama parent process
PresentationHost - parameter internal yang di-hardcode dalam binary
9zCnQP6o78753qg8 - parameter eksternal yang diteruskan lewat command line
‑embeddingObject - Ketiga kata kunci di-XOR per byte untuk membentuk kunci dekripsi AES-128
- nama parent process
- NickelLoader mengenali empat perintah 5 huruf
abcde: segera meminta perintah berikutnya tanpa jeda sleep panjang yang biasaavdrq: memuat DLL dari buffer yang diterima dan mengeksekusi exportinfoyang di-hardcodegabnc: memuat DLL dari buffer yang diterimadcrqv: mengakhiri dirinya sendiri
- ESET menamai payload ini NickelLoader karena struktur perintah 5 huruf mengingatkan pada nickel, sebutan untuk koin 5 sen Amerika
Rantai eksekusi miniBlindingCan
- Salah satu payload yang diunduh dan dijalankan oleh NickelLoader adalah miniBlindingCan
- Ini adalah versi sederhana dari RAT BlindingCan, pertama kali dilaporkan Mandiant pada September 2022 dengan nama AIRDRY.V2
- Pemuatannya menggunakan
colorcpl.exeyang sah dancolorui.dllberbahaya yang dijalankan dariC:\ProgramData\Adobe\colorui.dlladalah DLL berbahaya 64-bit yang diobfuscate dengan VMProtect- DLL ini berisi ribuan export, dan
LaunchColorCplmenangani eksekusi tahap berikutnya
- Dropper menggunakan fitur penghindaran analisis pada awal eksekusi
- Melakukan anti-debugging dengan memeriksa nilai
BeingDebuggedpada struktur PEB - Menggunakan teknik anti-sandbox untuk menghindari deteksi di lingkungan sandbox
- Secara eksplisit memeriksa apakah parent process adalah
colorcpl.exe, dan langsung keluar jika bukan
- Melakukan anti-debugging dengan memeriksa nilai
- Dekripsi payload final menggunakan string panjang hasil penggabungan nama parent process, nama file dropper, dan parameter command line eksternal sebagai kunci XOR
- Contoh string hasilnya adalah
COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
- Contoh string hasilnya adalah
- miniBlindingCan memiliki logika pemrosesan perintah yang mirip dengan BlindingCan tetapi dengan fungsi yang jauh dipangkas
- Mendukung pengiriman informasi sistem, pembaruan interval komunikasi, pengiriman dan pembaruan konfigurasi, pengunduhan serta dekripsi file, dan eksekusi shellcode yang dikirimkan
- Konfigurasi yang didekripsi berukuran 9.392 byte dan berisi 5 URL masing-masing hingga 260 wide character
Rantai eksekusi sederhana LightlessCan
- Rantai sederhana LightlessCan menggunakan
fixmapi.exeyang sah danmapistub.dllberbahaya yang dijalankan dariC:\ProgramData\Oracle\Java\ mapistub.dlladalah DLL yang men-trojanisasi Lua plugin 1.4 untuk Notepad++- Export dari
mapi32.dllWindows yang sah disalin ke dalamnya - Export
FixMAPImenangani dekripsi dan pemuatan tahap berikutnya - Export lainnya diisi dengan kode sah dari proyek sampel MineSweeper yang dipublikasikan
- Export dari
- Dropper ini memiliki persistensi yang ditetapkan melalui scheduled task
- ESET menyatakan detail tugas ini terbatas, tetapi parent process tampak sebagai
%WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule
- ESET menyatakan detail tugas ini terbatas, tetapi parent process tampak sebagai
- Tiga kata kunci digunakan untuk dekripsi data tertanam
- nama parent process
fixmapi.exe - parameter internal
IP7pdINfE9uMz63n - parameter eksternal command line
AudioEndpointBuilder - Kata-kata kunci itu di-XOR per byte, dan hasilnya menjadi kunci AES 128-bit
- nama parent process
Rantai eksekusi kompleks LightlessCan dan guardrail eksekusi
- Rantai LightlessCan yang lebih kompleks terdiri dari aplikasi sah, dropper awal, dropper lengkap, intermediate dropper, file konfigurasi, file informasi sistem, intermediate loader, dan RAT LightlessCan final
- Dropper awal adalah
HID.dllberbahaya yang dimuat melalui sideloading olehtabcal.exesah dariC:\ProgramData\Adobe\ARM\HID.dlladalah file yang men-trojanisasiMZC8051.dlldari proyek 8051 C compiler plugin untuk Notepad++- Export
HidD_GetHidGuidmenangani drop tahap berikutnya
- Tahap dekripsi pertama memerlukan tiga kata kunci
- nama parent process
tabcal.exe - parameter internal
9zCnQP6o78753qg8 - isi file
%WINDOWS%\system32\thumbs.db, yaituLocalServiceNetworkRestricted - Ketiga nilai itu di-XOR untuk membentuk kunci AES 128-bit
- nama parent process
- Dropper lengkap yang dihasilkan memiliki resource InternalName
AppResolver.dlldan berisi dua array data terenkripsi- Berisi array kecil 126 byte dan array besar 1.807.464 byte
- Array kecil didekripsi dengan RC6 menggunakan kunci 256-bit untuk menghasilkan jalur
C:\windows\system32\oci.dlldanC:\windows\system32\grpedit.dat - Hasil dekripsi array besar mencakup LightlessCan, intermediate dropper, dan file konfigurasi terenkripsi 14.948 byte yang dijatuhkan ke
%WINDOWS%\System32\wlansvc.cpl
- Dropper lengkap menyimpan berbagai karakteristik pengenal sistem terinfeksi ke
%WINDOWS%\System32\4F59FB87DF2F- Nilainya terutama diambil dari path registry
Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS - Mencakup
SystemBIOSDate,SystemBIOSVersion,SystemManufacturer,SystemProductName, serta nilaiIdentifierdi bawah disk controller - String gabungan dari nilai-nilai ini diperlukan untuk mendekripsi
grpedit.datterenkripsi di file system
- Nilainya terutama diambil dari path registry
- Struktur ini berfungsi sebagai guardrail eksekusi
- Ini memastikan payload hanya bisa didekripsi pada komputer korban yang dituju, sehingga sulit didekripsi pada perangkat lain milik peneliti keamanan
Penghindaran deteksi dan dampak pada analisis
- LightlessCan dapat sangat mengurangi jejak eksekusi program command-line Windows yang sering dipakai pada tahap pascaserangan
- Ia menghindari eksekusi utilitas konsol asli dengan mengganti fungsi perintah melalui implementasi internal
- Jejak yang bisa diamati dalam logging riwayat perintah dan deteksi real-time pun berkurang
- Sepanjang rantai serangan, berbagai teknik penghindaran pertahanan digabungkan
- DLL sideloading
- obfuscation VMProtect
- resolusi Windows API dinamis
- payload tertanam
- reflective DLL injection
- process injection
- penghindaran debugger dan sandbox
- tool dan konfigurasi terenkripsi di file system
- Komunikasi C&C juga dirancang agar sulit dianalisis dan dideteksi
- LightlessCan dan miniBlindingCan berkomunikasi dengan C&C melalui HTTP/HTTPS
- Trafik C&C dienkripsi dengan AES-128
- Encoding trafik menggunakan base64
- LightlessCan juga memiliki kemampuan eksfiltrasi data, dan dapat mengirimkan data ke server C&C
Ringkasan IoC dan MITRE ATT&CK
- IoC file awal utama
C273B244EA7DFF20B1D6B1C7FD97F343201984B3:%TEMP%\7zOC35416EE\Quiz1.exe, dropper awal yang menyamar sebagai tantangan “Hello World”38736CA46D7FC9B9E5C74D192EEC26F951E45752:%TEMP%\7zOCB3CC96D\Quiz2.exe, dropper awal yang menyamar sebagai tantangan deret FibonacciC136DD71F45EAEF3206BF5C03412195227D15F38:C:\ProgramShared\mscoree.dll, dropper NickelLoaderE61672B23DBD03FE3B97EE469FA0895ED1F9185D: downloader HTTPS NickelLoader
- IoC file utama terkait LightlessCan
0F33ECE7C32074520FBEA46314D7D5AB9265EC52:%ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, dropper LightlessCanC7C6027ABDCED3093288AB75FAB907C598E0237D: LightlessCan yang dijatuhkan olehmapistub.dllE18B9743EC203AB49D3B57FED6DF5A99061F80E0:%ALLUSERSPROFILE%\Adobe\ARM\HID.dll, dropper awal pada rantai kompleks3007DDA05CA8C7DE85CD169F3773D43B1A009318:%WINDIR%\system32\grpedit.dat, LightlessCan yang dijatuhkan dalam rantai kompleks247C5F59CFFBAF099203F5BA3680F82A95C51E6E:%WINDIR%\system32\oci.dll, intermediate dropper
- C&C menggunakan situs sah yang telah dikompromikan
bug.restoroad[.]comhurricanepub[.]comturnscor[.]commantis.quick.net[.]plwww.radiographers[.]orgkapata-arkeologi.kemdikbud.go[.]idbarsaji.com[.]mxwww.keewoom.co[.]krkerstpakketten.horesca-meppel[.]nlkittimasszazs[.]hunrfm[.]lk
- Menurut MITRE ATT&CK, ini dipetakan ke pengintaian via media sosial, spearphishing lewat tautan dan layanan, eksekusi file berbahaya oleh pengguna, scheduled task, DLL sideloading, guardrail eksekusi, pelemahan logging riwayat perintah, C&C berbasis protokol web, kanal enkripsi simetris, dan eksfiltrasi melalui kanal C2
1 komentar
Komentar di Hacker News
Cerdik juga mereka menyusup lewat tugas LeetCode untuk dikerjakan di rumah
Saya mengembangkan perangkat lunak Apple, dan proyek Xcode bisa masuk cukup dalam. Apple memang menampilkan peringatan saat membuka proyek yang diunduh, tetapi kalau dianggap sebagai tugas untuk dikerjakan di rumah, peringatan itu hampir pasti diabaikan
Tugas online juga mungkin meminta hak akses yang rumit, dan target seperti ini kemungkinan besar punya hak akses cukup tinggi ke aset inti perusahaan. Tentu tidak ada orang yang memakai sumber daya perusahaan untuk mencari kerja, tetapi kalau hal seperti itu ternyata cukup sering terjadi, semua orang di sini akan bereaksi sensitif
Ada satu pelamar yang bahkan tidak bisa menjalankan REPL proyeknya sendiri, lalu setelah kesulitan ia bergumam, “seharusnya pakai komputer kantor saja.” Kalau eksekusi paling dasar saja tidak bisa di komputer pribadi, itu berarti ia mengerjakan tugasnya di komputer kantor
Memang harus diingat bahwa pada 1996 alamat email pribadi belum seumum sekarang, tetapi tetap saja itu kesalahan pemula. Sejak dulu saya memegang prinsip jangan melakukan urusan pribadi di komputer kantor, tetapi itu bukan sikap yang umum
Mungkin bukan solusi sempurna, tetapi akan bagus kalau proyek bisa dibuka dalam mode di mana semua tahap build dijalankan di sandbox. Kalau gagal, tinggal lihat apa yang coba dilakukannya
Sejujurnya, saya rasa sebagian besar rekan kerja tidak melakukan uji tuntas sampai level yang sama
Saya selalu heran setiap melihat orang memakai perangkat perusahaan saat ini untuk tugas dari rumah, email headhunter, atau panggilan wawancara dengan perusahaan lain
Banyak orang bilang mereka melakukan itu, tetapi saya tidak mengerti. Potensi konsekuensinya terlalu banyak. Seorang manajer yang terlalu bersemangat bahkan pernah memakai jaringan pribadinya untuk meyakinkan calon pemberi kerja agar tidak merekrut saya, hanya karena ia mengetahuinya
Meski tidak etis atau ilegal, hal seperti ini benar-benar terjadi, termasuk di perusahaan teknologi besar. Rasanya aneh membayangkan orang secara sukarela membagikan detail aktivitas mencari kerja kepada pemberi kerja. Menurut saya pekerjaan dan kehidupan pribadi harus dipisahkan seperti pemisahan agama dan negara
Mereka pengembang perangkat lunak dan jelas mampu membeli laptop. Batas maksimal saya mencampur pemakaian hanya memakai laptop kantor yang kecil, ringan, dan punya Bluetooth untuk menonton video YouTube yang tidak berbahaya sambil mencuci piring. Dulu kadang juga saya pakai untuk mencetak sesuatu di kantor
Saya sepenuhnya setuju risikonya besar dan itu tidak seharusnya dilakukan, tetapi kalau orang tidak berpikir mendalam atau tidak terus waspada, hal itu sangat mungkin terjadi
Saya tidak mengerti kenapa menambah risiko yang tidak perlu. Mungkin mereka memang suka ketegangannya
Apakah pelaku mengirim file .exe dengan dalih korban harus mereplikasi fungsinya dalam C++? Begitu menerima file .exe dari seseorang, itu seharusnya menjadi sinyal kuat bahwa ini serangan, atau setidaknya pengirimnya luar biasa tidak kompeten secara teknis
Namun mungkin ini karena saya mengalami era Windows 95. Sepertinya beberapa pelajaran harus dipelajari ulang oleh tiap generasi
Kita tidak tahu berapa banyak orang yang diminta menjalani tes aneh lalu berkata, “kalau begitu saya tidak ikut.” Sekarang menjalankan aplikasi di sandbox cukup mudah, jadi bodoh kalau tidak melakukannya. Sandboxie gratis dan tidak selalu dijamin berhasil, tetapi bisa saja berhasil, dan setidaknya kemungkinan besar membuat perilaku aneh menjadi terlihat. Windows Pro juga sempat punya opsi menu klik kanan untuk menjalankan file executable di sandbox
Saat melihat judulnya, awalnya saya kira infeksinya lewat IDE. Ada alasan kenapa muncul pertanyaan seperti “apakah Anda memercayai pembuat proyek ini,” dan dalam kasus VS Code, trik konfigurasi Git bahkan bisa menjalankan kode sebelum prompt muncul
Saya akan berhati-hati menjalankan program, tetapi kalau perekrut mengirim tugas coding dalam bentuk proyek belum selesai di repositori Git, saya mungkin akan menekan tombol “izinkan eksekusi kode.” Apalagi kalau dalam wawancara jarak jauh mereka melihat kode secara real time sambil berkata “kami ingin melihat cara Anda mendekati masalah.” Serangan kali ini sangat mendasar, tetapi tidak sulit membuat infeksi awal sulit terdeteksi tepat waktu
Membuat orang menjalankan file executable yang diunduh atau dilampirkan itu sederhana, tetapi tampaknya masih efektif. Cara yang lebih jahat dan efektif adalah mengarahkan korban ke repositori GitHub berisi proyek “tugas,” lalu membuatnya merujuk ke paket yang telah dikompromikan yang melakukan hal yang diinginkan penyerang saat korban menguji solusinya
Saya tahu mereka bukan script kiddie biasa, tetapi saya penasaran bagaimana mereka bereaksi kalau dicoba dilawan balik. Kalau mereka memberi .exe dan menyuruh menjalankannya, saya tidak akan menjalankannya; saya akan membukanya dengan editor heksadesimal untuk diperiksa. Kalau file yang diklaim sebagai “hello world” atau generator Fibonacci ternyata jauh lebih besar dari perkiraan, atau berisi data yang tampak terenkripsi maupun upaya obfuscation, saya tidak akan menjalankannya
Kalau sumbernya dikunci dan detailnya bisa diubah untuk tiap kandidat, solusi yang beredar online tidak akan membantu
Saat melakukan konsultasi untuk program pemerintah, saya sengaja tidak mengunggah CV ke internet
Saya memang tidak punya hak akses yang bisa dipakai mata-mata, tetapi kalau hanya melihat beberapa kata kunci, bisa saja terlihat seperti itu. Seperti para perekrut yang mengirim spam ke semua orang yang muncul dari pencarian kata kunci di LinkedIn
Saya tahu insiden keamanan apa pun harus dilaporkan, dan menganggap kontrak serta pemasukan bisa terhenti sementara birokrasi yang berhati-hati memproses insiden itu. Jadi saya menghapus CV online, dan juga mengambil langkah agar pencuri acak tidak tanpa sengaja mencuri laptop kerja
Sekarang saya sudah meninggalkan pekerjaan itu, jadi seperti orang lain saya menikmati spam rekrutmen semacam Junior Python Leetcode Hazing Engineer di LinkedIn
Dalam pekerjaan atau industri tertentu, tidak mengungkapkan status pekerjaan bisa menjadi langkah keamanan biasa untuk mencegah serangan tertarget. Kalau di dunia nyata, agen CIA tentu tidak akan berkeliling di luar negeri membagikan kartu nama berstempel CIA
Saya juga dalam situasi mirip, tidak ingin orang-orang tertentu tahu saya bekerja di mana, tetapi menurut saya CV lama yang tidak menyebutkan pekerjaan saat ini tetap boleh dibiarkan online. Saya juga meminta kepala HR agar nama saya tidak pernah dimasukkan ke halaman publik “tim kami”
Efek sampingnya, saya jadi tertawa setiap kali mengikuti pelatihan keamanan perusahaan wajib yang menunjukkan cara menangani serangan tertarget dan contoh email phishing. Sejauh ini, selain simulasi dari vendor penetration test, saya belum pernah menerima satu pun spear phishing
Orang bodoh macam apa yang memakai perangkat perusahaan untuk urusan pribadi
Ini bukan soal orang miskin, melainkan orang-orang yang sebenarnya punya cukup uang untuk membeli perangkat pribadi
Komputer pribadi saya semacam pemanas ruangan yang juga bisa menjalankan video game, jadi bukan pilihan default. Saya mampu membeli perangkat ketiga, tetapi uang itu bisa dipakai untuk hal yang lebih baik
Tentu saja saya berusaha mematuhi aturan keamanan perusahaan. Saya percaya pada perusahaan. Saya tidak mau bekerja di perusahaan yang tidak bisa saya percayai untuk menyimpan cookie browser saya. Di yurisdiksi tempat saya tinggal, hukum juga berpihak pada saya. Perusahaan tidak bisa memecat saya hanya karena saya melakukan sesuatu di laptop perusahaan yang tidak mereka sukai; mereka butuh alasan yang sangat kuat
Saat saya masih intern mahasiswa dan jauh lebih miskin, saya juga pernah melakukan hal yang sama
Saya tidak login, dan cukup senang menonton film di laptop kerja
Dalam kasus ini korbannya bekerja di perusahaan dirgantara. Saya kenal beberapa orang di industri itu, dan semuanya bekerja dengan jam yang tidak masuk akal. Selain itu ini perusahaan Spanyol, jadi bekerja lebih dari 10 jam sehari mungkin dianggap wajar
Sedikit berbeda topik, tetapi saya penasaran bagaimana Lazarus/HIDDEN COBRA bisa menjadi aktor negara yang begitu canggih jika warga Korea Utara hampir tidak punya akses internet sampai mereka menjadi pegawai pemerintah
Rasanya sulit menumbuhkan generasi hacker hebat tanpa akses ke riset keamanan modern, proyek open-source, materi pemrograman, dan malware yang benar-benar beredar. Mungkin mereka menangkap orang yang menembus firewall lalu menawari mereka pekerjaan di unit tersebut
Saya juga penasaran Anda membayangkan hacker dilatih seperti apa. Ini bukan soal mengajari mereka membuat aplikasi todo dengan nightly build React. Mereka mungkin menghafal Ethernet dan stack TCP/IP lebih baik daripada orang-orang yang membuatnya, bahkan bisa melafalkannya terbalik, dan itu saja sudah cukup untuk meretas banyak hal
Di negara yang kekurangan banyak hal seperti makanan dan listrik, itu pekerjaan yang sangat didambakan. Kalau ingin tahu lebih jauh, dengarkan podcast Lazarus Heist
Dari 300 perusahaan penempatan tenaga kerja di wilayah kami, hanya 23 yang benar-benar punya izin legal untuk beroperasi sebagai layanan, jadi ini tidak mengejutkan
Mencoba memverifikasi mana yang palsu dan mana yang asli adalah benang yang kebanyakan perusahaan dan pelamar tidak terlalu ingin tarik
Ada juga penipuan rekrutmen palsu. Caranya menawarkan paket kompensasi menarik kepada karyawan agar mereka pindah, lalu pesaing mengorek data, dan sebelum masa evaluasi berakhir—biasanya dalam 6–10 bulan—mereka dikeluarkan. Berbagai pelaku jahat juga menyebarkan PDF terinfeksi dengan janji-janji berlebihan
Harus berhati-hati, dan 86Box mendukung backing image read-only serta sesi seperti Bochs/kvm: https://github.com/86Box/86Box/releases
Berjalan juga di laptop Apple M1, tetapi lambat
Hal buruk seperti ini benar-benar terjadi
Pada 2019, laptop saya diretas melalui Wi‑Fi gratis yang disediakan kantor pusat, sehingga saya harus mengganti semua SSH key
“Dua file executable berbahaya… yang pertama proyek Hello World… yang kedua mencetak deret Fibonacci sampai elemen terbesar yang lebih kecil dari input,” ini seharusnya menjadi tanda pertama bahwa ada yang tidak beres
Kalau Meta, mereka pasti mulai dari LeetCode medium atau hard
Keamanan situs web ini fantastis
Mereka memblokir penggunaan tombol panah untuk menggulir isi halaman. Pasti karena vektor serangan tak dikenal melalui keyboard. Hebat