POSHC2

Cybersecurity-experts gebruiken de tool POSHC2 om ervoor te zorgen dat de netwerken die ze beheren, beveiligd zijn tegen cyberaanvallen. POSHC2 is een exploitatiekader dat met name penetratietesters helpt. Het POSHC2-framework is echter een gratis tool en alle broncode is beschikbaar voor iedereen die vrij geïnteresseerd is. Dit heeft natuurlijk de aandacht getrokken van cybercriminelen die de code van het framework enigszins hebben gewijzigd en erin zijn geslaagd om het in een volledig bewapend hacktool te veranderen. Deze bedreigende varianten van het POSHC2-raamwerk kunnen zowel op bedrijven als particulieren worden gericht.

Operaties gericht op grote industrieën

Onder de oplichters die profiteren van het bewapende POSHC2-framework is de APT33-groep (Advanced Persistent Threat). Ze zijn ook bekend onder de naam Elfin Team. Het is bekend dat deze hackgroep zich in Iran bevindt en campagnes heeft opgezet voor bedrijven en instellingen in de Verenigde Staten, Zuid-Korea en Saoedi-Arabië. Het lijkt erop dat de APT33 een voorliefde heeft gekregen voor het POSHC2-raamwerk, omdat ze het in 2018 in talloze campagnes hadden gebruikt. Twee van hun doelen waren de luchtvaart- en engineeringindustrie. De hackgroep heeft een timer ingesteld die de activiteit van de bewapende variant van het POSHC2-raamwerk op 29 juli 2018 zou beëindigen. Niet veel oplichters nemen deze maatregel, maar sommige geven de voorkeur aan de veilige kant en laten minder sporen achter voor cybersecurity experts.

Werkt als een Trojaanse achterdeur

Het POSHC2-raamwerk is in wezen veranderd in een Trojaanse achterdeur. Dit betekent dat deze dreiging bijna kan functioneren als een reguliere Trojaanse achterdeur. Zodra het een doel in gevaar brengt, begint de POSHC2-achterdeur met het verzamelen van informatie over de systeemhardware, software, gebruikersnaam, pc-naam en de proces-ID van de bedreiging van de host. Alle verzamelde informatie wordt vervolgens geëxfiltreerd naar de C&C (Command & Control) -server van de operators van de POSHC2-achterdeur. De POSHC2-achterdeur kan externe opdrachten van de C&C server ontvangen. Met behulp van de C & C-server kan de POSHC2-achterdeur ook extra malware downloaden en uitvoeren op de getroffen computer. Bovendien kan deze iteratie van het POSHC2-framework ook PowerShell-opdrachten uitvoeren.

Het is niet ongewoon voor cyberboeven om een legitieme toepassing te kapen en te bewapenen. Bedrijven moeten hun cyberbeveiliging serieuzer nemen.