POSHC2

Gli esperti di sicurezza informatica hanno utilizzato uno strumento chiamato POSHC2 per assicurarsi che le reti che gestiscono siano al sicuro dagli attacchi informatici. POSHC2 è un framework di sfruttamento che aiuta in particolare i tester di penetrazione. Tuttavia, il framework POSHC2 è uno strumento gratuito e tutto il suo codice sorgente è disponibile per chiunque sia interessato liberamente. Naturalmente, questo ha attirato l'attenzione dei criminali informatici che hanno leggermente modificato il codice del framework e sono riusciti a trasformarlo in uno strumento di hacking completamente armato. Queste varianti minacciose del framework POSHC2 possono essere utilizzate sia per le aziende che per gli individui.

Operazioni rivolte alle principali industrie

Tra i truffatori che stanno sfruttando il framework POSHC2 armato c'è il gruppo APT33 (Advanced Persistent Threat). Sono anche conosciuti con lo pseudonimo di Elfin Team. È noto che questo gruppo di hacker si trova in Iran e hanno lanciato campagne rivolte a imprese e istituzioni negli Stati Uniti, in Corea del Sud e in Arabia Saudita. Sembrerebbe che l'APT33 abbia acquisito un gusto per il framework POSHC2, poiché lo avevano utilizzato in numerose campagne nel 2018. Due dei loro obiettivi erano l'industria aeronautica e ingegneria. Il gruppo di hacking ha impostato un timer che terminerebbe l'attività della variante armata del framework POSHC2 il 29 luglio 2018. Non molti truffatori adottano questa misura, ma alcuni preferiscono essere al sicuro e lasciare meno tracce per la sicurezza informatica esperti.

Funziona come un Trojan backdoor

Il framework POSHC2 è stato essenzialmente trasformato in un Trojan backdoor. Ciò significa che questa minaccia può quasi funzionare come un normale trojan backdoor. Una volta che compromette un obiettivo, la backdoor POSHC2 inizierà a raccogliere informazioni sull'hardware, il software, il nome utente, il nome PC e l'ID del processo dell'host della minaccia. Tutte le informazioni raccolte verranno quindi esfiltrate sul server C&C (Command & Control) degli operatori della backdoor POSHC2. La backdoor POSHC2 può ricevere comandi remoti dal server C&C. Con l'aiuto del server C&C, la backdoor POSHC2 è anche in grado di scaricare ed eseguire malware aggiuntivo sulla macchina compromessa. Inoltre, questa iterazione del framework POSHC2 può anche eseguire comandi PowerShell.

Non è raro che i criminali informatici dirottino un'applicazione legittima e la armino. Le aziende devono prendere più seriamente la propria sicurezza informatica.