POSHC2

Kyberturvallisuuden asiantuntijat ovat käyttäneet POSHC2-työkalua varmistaakseen, että heidän hallinnoimansa verkot ovat turvassa tietoverkkohyökkäyksiltä. POSHC2 on hyväksikäyttökehys, joka auttaa etenkin tunkeutumisen testaajia. POSHC2-kehys on kuitenkin ilmainen työkalu, ja kaikki sen lähdekoodit ovat vapaasti kiinnostuneiden saatavilla. Luonnollisesti tämä on herättänyt tietoverkkohuijausten huomion, jotka ovat muuttaneet kehyksen koodia hiukan ja onnistuneet muuttamaan siitä täysin aseistettua hakkerointityökalua. Näitä POSHC2-kehyksen uhkaavia variantteja voidaan käyttää kohdistamaan yrityksiä ja yksityishenkilöitä.

Suurille toimialoille suunnatut toimet

Niiden näyttelijöiden joukossa, jotka hyödyntävät aseistettua POSHC2-kehystä, on APT33 (Advanced Persistent Threat) -ryhmä. Ne tunnetaan myös nimellä Elfin Team. Tämän hakkerointiryhmän tiedetään sijaitsevan Iranissa, ja he ovat käynnistäneet kampanjoita, jotka on suunnattu yrityksille ja instituutioille Yhdysvalloissa, Etelä-Koreassa ja Saudi-Arabiassa. Vaikuttaa siltä, että APT33 on saanut maun POSHC2-kehyksestä, koska he olivat käyttäneet sitä lukuisissa kampanjoissa vuonna 2018. Kaksi heidän tavoitteistaan oli ilmailu- ja konepajateollisuus. Hakkerointiryhmä on asettanut ajastimen, joka lopettaa POSHC2-kehyksen aseistetun variantin toiminnan 29. heinäkuuta 2018. Useat osallistujat eivät ota tätä toimenpidettä, mutta jotkut mieluummin ovat turvallisella puolella ja jättävät vähemmän jälkiä kyberturvallisuuteen. asiantuntijoita.

Toimii takaoven troijalaisena

POSHC2-kehys on muutettu pääosin takaoven troijalaiseksi. Tämä tarkoittaa, että tämä uhka voi melkein toimia normaalina takaoven troijalaisena. Kun kohde on vaarannettu, POSHC2-takaovi aloittaa tiedon keräämisen isäntäjärjestelmän laitteistosta, ohjelmistosta, käyttäjänimestä, PC-nimestä ja uhan prosessitunnuksesta. Kaikki kerätyt tiedot suodatetaan sitten POSHC2-takaoven operaattorien C&C (Command & Control) -palvelimelle. POSHC2-takaovi voi vastaanottaa etäkomentoja C&C-palvelimelta. C&C-palvelimen avulla POSHC2-takaovi voi myös ladata ja suorittaa lisähaittaohjelmia vaarantuneessa koneessa. Lisäksi tämä POSHC2-kehyksen toisto voi myös suorittaa PowerShell-komentoja.

Ei ole harvinaista, että tietoverkot kaappaavat laillisen sovelluksen ja aseistavat sen. Yritysten on otettava kyberturvallisuutensa entistä vakaammin.