POSHC2

Ekspertët e sigurisë në internet kanë përdorur një mjet të quajtur POSHC2 për të siguruar që rrjetet që ata po administrojnë janë të sigurt nga sulmet kibernetike. POSHC2 është një kornizë shfrytëzimi që ndihmon veçanërisht testuesit e depërtimit. Sidoqoftë, korniza POSHC2 është një mjet falas, dhe i gjithë kodi i tij burimor është i disponueshëm për këdo që është i interesuar lirisht. Natyrisht, kjo ka tërhequr vëmendjen e mashtruesve kibernetikë që kanë ndryshuar pak kodin e kornizës dhe kanë arritur ta shndërrojnë atë në një mjet hacker plotësisht të armatosur. Këto variante kërcënuese të kornizës POSHC2 mund të përdoren për të synuar kompanitë dhe individët njësoj.

Operacionet që synojnë industri të mëdha

Ndër aktorët kryesorë që po përfitojnë nga korniza e armatosur POSHC2 është grupi APT33 (Kërcënim i Përhershëm i Përhershëm). Ata gjithashtu janë të njohur nën alias Elfin Team. Ky grup hakerimi dihet se ndodhet në Iran, dhe ata kanë filluar fushatat që synojnë bizneset dhe institucionet në Shtetet e Bashkuara, Koreja e Jugut dhe Arabia Saudite. Do të duket që APT33 fitoi një shije për kornizën POSHC2, pasi ata e kishin përdorur atë në fushata të shumta në vitin 2018. Dy nga objektivat e tyre ishin industri të aviacionit dhe inxhinierisë. Grupi i hakerave ka vendosur një kohëmatës që do të ndërpresë veprimtarinë e variantit të armatosur të kornizës POSHC2 më 29 korrik 2018. Jo shumë aktorë kon marrin këtë masë, por disa preferojnë të jenë në anën e sigurt dhe të lënë më pak gjurmë për sigurinë në internet ekspertët.

Operon si një Trojan Backdoor

Kuadri POSHC2 është kthyer në atë që është në thelb një Trojan në prapavijë. Kjo do të thotë që ky kërcënim pothuajse mund të funksionojë si një Trojan i rregullt në prapavijë. Sapo të komprometojë një objektiv, prapaskena e POSHC2 do të fillojë mbledhjen e informacionit në lidhje me pajisjet e sistemit të pritës, programin, emrin e përdoruesit, emrin e PC dhe ID-në e Procesit të kërcënimit. Të gjitha informacionet e mbledhura më pas do të eksfiltrohen në serverin C&C (Komanda dhe Kontrolli) të operatorëve të pjesës së prapme të POSHC2. Mbrapa prapa POSHC2 mund të marrë komanda në distancë nga serveri C&C. Me ndihmën e serverit C&C, pjesa e prapme e POSHC2 gjithashtu është e aftë të shkarkojë dhe ekzekutojë malware shtesë në makinën e komprometuar. Për më tepër, ky përsëritje e kornizës POSHC2 gjithashtu mund të ekzekutojë komandat PowerShell.

Nuk është e pazakontë që hajdutët në internet të rrëmbejnë një aplikim të ligjshëm dhe ta armatosin atë. Bizneset duhet ta marrin më seriozisht sigurinë e tyre në internet.