POSHC2

Eksperci ds. Cyberbezpieczeństwa używają narzędzia o nazwie POSHC2, aby upewnić się, że administrowane przez nich sieci są bezpieczne przed cyberatakami. POSHC2 to platforma wykorzystywania, która pomaga w szczególności testerom penetracyjnym. Jednak platforma POSHC2 jest bezpłatnym narzędziem, a cały jej kod źródłowy jest dostępny dla każdego, kto jest zainteresowany. Oczywiście przyciągnęło to uwagę cyberprzestępców, którzy nieznacznie zmienili kod frameworka i zdołali zamienić go w narzędzie do hakowania w pełni uzbrojone. Te groźne warianty struktury POSHC2 mogą być wykorzystane do atakowania zarówno firm, jak i osób fizycznych.

Operacje ukierunkowane na główne branże

Wśród podmiotów, które wykorzystują uzbrojone środowisko POSHC2, jest grupa APT33 (Advanced Persistent Threat). Znani są również pod pseudonimem Elfin Team. Ta grupa hakerska znana jest z tego, że ma siedzibę w Iranie i rozpoczęła kampanie skierowane do firm i instytucji w Stanach Zjednoczonych, Korei Południowej i Arabii Saudyjskiej. Wygląda na to, że APT33 zasmakował w platformie POSHC2, ponieważ używali jej w licznych kampaniach w 2018 roku. Dwa z ich celów to przemysł lotniczy i inżynieryjny. Grupa hakerów ustanowiła zegar, który zakończyłby działanie uzbrojonego wariantu platformy POSHC2 w dniu 29 lipca 2018 r. Niewiele podmiotów akceptujących to rozwiązanie, ale niektórzy wolą być po bezpiecznej stronie i pozostawiać mniej śladów dla cyberbezpieczeństwa eksperci.

Działa jako trojan Backdoor

Framework POSHC2 został zasadniczo przekształcony w trojana typu backdoor. Oznacza to, że zagrożenie to może prawie działać jak zwykły trojan typu backdoor. Po naruszeniu celu backdoor POSHC2 zacznie gromadzić informacje o sprzęcie systemowym hosta, oprogramowaniu, nazwie użytkownika, nazwie komputera i identyfikatorze zagrożenia. Wszystkie zebrane informacje zostaną następnie poddane ekstrakcji na serwer C&C (Command & Control) operatorów backdoora POSHC2. Backdoor POSHC2 może odbierać zdalne polecenia z serwera C&C. Za pomocą serwera C&C backdoor POSHC2 może również pobierać i uruchamiać dodatkowe złośliwe oprogramowanie na zainfekowanej maszynie. Ponadto, ta iteracja frameworku POSHC2 może również wykonywać polecenia PowerShell.

Nierzadko cyberprzestępcy przejmują uzasadnioną aplikację i zbroją ją. Firmy muszą poważniej traktować swoje bezpieczeństwo cybernetyczne.