POSHC2

Cybersecurity-eksperter har brugt et værktøj kaldet POSHC2 for at sikre, at de netværk, de administrerer, er sikre mod cyberangreb. POSHC2 er en udnyttelsesramme, der især hjælper penetrationstestere. Imidlertid er POSHC2-rammen et gratis værktøj, og al dens kildekode er tilgængelig for alle, der frit er interesseret. Dette har naturligvis tiltrukket sig opmærksomheden fra cyber-skurke, der har ændret rammekoden lidt og formået at omdanne den til et fuldt våben hackingværktøj. Disse truende varianter af POSHC2-rammen kan bruges til både at målrette mod virksomheder og enkeltpersoner.

Virksomheder, der er målrettet mod større industrier

Blandt de kæmpeskuespillere, der drager fordel af den våbnede POSHC2-ramme, er gruppen APT33 (Advanced Persistent Threat). De er også kendt under alias Elfin Team. Det er kendt, at denne hackinggruppe er lokaliseret i Iran, og de har lanceret kampagner, der er rettet mod virksomheder og institutioner i USA, Sydkorea og Saudi-Arabien. Det ser ud til, at APT33 fik en smag for POSHC2-rammen, da de havde brugt det i adskillige kampagner i 2018. To af deres mål var luftfarts- og ingeniørindustrien. Hackingsgruppen har oprettet en timer, der ville afslutte aktiviteten i den våbenvariant af POSHC2-rammen den 29. juli 2018. Ikke mange konkurrenceaktører tager denne foranstaltning, men nogle foretrækker at være på den sikre side og efterlade færre spor for cybersikkerhed eksperter.

Fungerer som en bagdør Trojan

POSHC2-rammen er blevet omdannet til hvad der er en bagdør Trojan i det væsentlige. Dette betyder, at denne trussel næsten kan fungere som en almindelig bagdør Trojan. Når det går på kompromis med et mål, vil POSHC2-bagdøren begynde at indsamle oplysninger om værtens systemhardware, software, brugernavn, pc-navn og trussens proces-id. Al den indsamlede information vil derefter blive filtreret til C&C (Command & Control) serveren for operatørerne af POSHC2 bagdøren. POSHC2-bagdøren kan modtage fjernkommandoer fra C&C-serveren. Ved hjælp af C&C-serveren er POSHC2-bagdøren også i stand til at downloade og udføre yderligere malware på den kompromitterede maskine. Desuden kan denne iteration af POSHC2-rammen også udføre PowerShell-kommandoer.

Det er ikke ualmindeligt, at cyber-skurke kaprer en legitim applikation og våben den. Virksomheder skal tage deres cybersikkerhed mere alvorligt.