POSHC2

Les experts en cybersécurité utilisent un outil appelé POSHC2 pour s’assurer que les réseaux qu’ils administrent sont à l’abri des cyberattaques. POSHC2 est un framework d'exploitation qui aide en particulier les testeurs d'intrusion. Cependant, le framework POSHC2 est un outil gratuit, et tout son code source est disponible pour tous ceux qui s’intéressent librement. Naturellement, cela a attiré l’attention des cyber-escrocs qui ont légèrement modifié le code du cadre et ont réussi à le transformer en un outil de piratage entièrement armé. Ces variantes menaçantes du cadre POSHC2 peuvent être utilisées à la fois pour les entreprises et les particuliers.

Opérations ciblant les principales industries

Le groupe APT33 (Advanced Persistent Threat) fait partie des arnaqueurs qui tirent parti du framework POSHC2 personnalisé . Ils sont également connus sous le pseudonyme Elfin Team. On sait que ce groupe de piratage est implanté en Iran et il a lancé des campagnes ciblant des entreprises et des institutions aux États-Unis, en Corée du Sud et en Arabie saoudite. Il semblerait que l'APT33 ait pris goût au framework POSHC2, tel qu'il l'avait utilisé lors de nombreuses campagnes en 2018. Deux de leurs cibles étaient les industries de l'aviation et de l'ingénierie. Le groupe de piratage informatique a mis en place une minuterie qui mettrait fin au 29 juillet 2018 à l'activité de la variante basée sur l'armement du framework POSHC2. Peu d'actes de fraude prennent cette mesure, mais certains préfèrent être prudents et laisser moins de traces pour la cybersécurité. experts.

Fonctionne comme un cheval de Troie de porte dérobée

Le framework POSHC2 a été transformé en ce qui est essentiellement un cheval de Troie de porte dérobée. Cela signifie que cette menace peut presque fonctionner comme un cheval de Troie de porte dérobée classique. Une fois la cible compromise, la porte dérobée POSHC2 commencera à collecter des informations sur le matériel système de l'hôte, les logiciels, le nom d'utilisateur, le nom de l'ordinateur et l'ID de processus de la menace. Toutes les informations collectées seront ensuite exfiltrées sur le serveur C & C (Command & Control) des opérateurs de la porte dérobée POSHC2. La porte dérobée POSHC2 peut recevoir des commandes distantes du serveur C & C. Avec l’aide du serveur C & C, la porte dérobée POSHC2 est également capable de télécharger et d’exécuter des programmes malveillants supplémentaires sur la machine compromise. De plus, cette itération de la structure POSHC2 peut également exécuter des commandes PowerShell.

Il n’est pas rare que des cyber-escrocs s’emparent d’une application légitime pour la transformer en arme. Les entreprises doivent prendre leur cybersécurité plus au sérieux.