POSHC2

Cybersecurity-experter har använt ett verktyg som heter POSHC2 för att se till att nätverken de administrerar är säkra från cyberattacker. POSHC2 är en exploateringsram som särskilt hjälper penetrationstestare. POSHC2-ramverket är dock ett gratis verktyg, och all dess källkod är tillgänglig för alla som är intresserade fritt. Naturligtvis har detta väckt uppmärksamheten hos cyberkrokar som har ändrat ramkoden något och lyckats förvandla den till ett helt vapenhackningsverktyg. Dessa hotande varianter av POSHC2-ramverket kan användas för att rikta in både företag och individer.

Verksamhet som riktar sig till större industrier

Bland de skådespelare som utnyttjar det vapeniserade POSHC2-ramverket är gruppen APT33 (Advanced Persistent Threat). De är också kända under alias Elfin Team. Det är känt att denna hackinggrupp finns i Iran, och de har lanserat kampanjer riktade mot företag och institutioner i USA, Sydkorea och Saudiarabien. Det verkar som om APT33 fick en smak för POSHC2-ramverket, eftersom de hade använt det i flera kampanjer under 2018. Två av deras mål var flyg- och verkstadsindustrin. Hackningsgruppen har inrättat en timer som skulle avbryta aktiviteten för den vapenvarianten av POSHC2-ramverket den 29 juli 2018. Inte många skådespelare vidtar denna åtgärd, men vissa föredrar att vara på den säkra sidan och lämna färre spår för cybersäkerhet experter.

Fungerar som en bakdörr-trojan

POSHC2-ramverket har förvandlats till en trojan som är en bakdörr i huvudsak. Detta innebär att detta hot nästan kan fungera som en vanlig bakdörr Trojan. När det komprometterar ett mål kommer POSHC2-bakdörren att börja samla in information om värdens systemhårdvara, programvara, användarnamn, PC-namn och processens ID för hotet. All insamlad information kommer sedan att filtreras till C&C (Command & Control) -servern för operatörerna för POSHC2-bakdörren. POSHC2-bakdörren kan ta emot fjärrkommandon från C & C-servern. Med hjälp av C & C-servern kan POSHC2-bakdörren också ladda ner och köra ytterligare skadlig programvara på den komprometterade maskinen. Dessutom kan denna iteration av POSHC2-ramverket också utföra PowerShell-kommandon.

Det är inte ovanligt att cyberkrokar kapar en legitim applikation och vapenar den. Företag måste ta sin cybersäkerhet mer på allvar.