Исследователи Unit 42 из Palo Alto Networks зафиксировали использование открытого фреймворка AdaptixC2 в реальных атаках, начиная с мая 2025 года. Изначально созданный для легитимных целей тестирования на проникновение, этот инструмент был адаптирован злоумышленниками для скрытного контроля над системами, выполнения команд, кражи данных и перемещения по сетям.
Описание
AdaptixC2 представляет собой модульную платформу с поддержкой расширяемости через «экстендеры», что позволяет настраивать полезную нагрузку и методы уклонения от обнаружения под конкретную цель. Фреймворк поддерживает несколько типов коммуникации: HTTP, SMB и TCP, использует шифрование RC4 для конфигурации и предлагает такие функции операционной безопасности, как настраиваемое время активности и дата самоуничтожения.
В одном из исследованных сценариев злоумышленники применяли социальную инженерию, имитируя сотрудников службы поддержки через Microsoft Teams. Жертвы были убеждены запустить сеанс удалённого доступа через Quick Assist, после чего выполнялся многоэтапный PowerShell-загрузчик. Он декодировал и исполнял шелл-код прямо в памяти, минуя запись на диск, а для обеспечения устойчивости создавалась ссылка в папке автозагрузки.
В другом случае использовался сценарий на PowerShell, который, с высокой степенью уверенности, был создан с помощью ИИ-инструментов. Это подтверждается стилистикой кода, наличием нумерованных комментариев и символов в выводе. Скрипт также реализовывал техники persistence через подмену DLL и добавление в автозагрузку реестра.
Оба инцидента демонстрируют общие черты: использование PowerShell, выполнение кода в памяти, применение .NET-методов для динамического вызова и схожие названия элементов persistence, такие как «update.ps1» или «Updater». Это позволяет вредоносным компонентам маскироваться под легитимные процессы.
По данным телеметрии, популярность AdaptixC2 среди злоумышленников растёт. Фреймворк уже применялся в комбинации с ransomware (программами-вымогателями) Fog при атаке на финансовый институт в Азии, что подчёркивает его универсальность и опасность.
Для противодействия угрозам, связанным с AdaptixC2, специалистам рекомендуется использовать продукты Palo Alto Networks, включая Advanced Threat Prevention, Cortex XDR и Advanced WildFire. Также доступен инструмент для автоматического извлечения конфигурации из вредоносных образцов, что упрощает анализ и выявление атак.
Таким образом, AdaptixC2 illustrates растущую тенденцию: киберпреступники активно используют гибкие, открытые и малоизвестные фреймворки, дополняя их искусственным интеллектом для создания более изощрённых и незаметных атак.
Индикаторы компрометации
Domains
- buenohuy.live
- doamin.cc
- dtt.alux.cc
- express1solutions.com
- firetrue.live
- iorestore.com
- lokipoki.live
- mautau.live
- moldostonesupplies.pro
- muatay.live
- nicepliced.live
- nissi.bg
- novelumbsasa.art
- picasosoftai.shop
- protoflint.com
- regonalone.com
- tech-system.online
- veryspec.live
- x6iye.site
SHA256
- 19c174f74b9de744502cdf47512ff10bba58248aa79a872ad64c23398e19580b
- 750b29ca6d52a55d0ba8f13e297244ee8d1b96066a9944f4aac88598ae000f41
- 83ac38fb389a56a6bd5eb39abf2ad81fab84a7382da296a855f62f3cdd9d629d
- ad96a3dab7f201dd7c9938dcf70d6921849f92c1a20a84a28b28d11f40f0fb06
- b81aa37867f0ec772951ac30a5616db4d23ea49f7fd1a07bb1f1f45e304fc625
- bdb1b9e37f6467b5f98d151a43f280f319bacf18198b22f55722292a832933ab
- df0d4ba2e0799f337daac2b0ad7a64d80b7bcd68b7b57d2a26e47b2f520cc260
YARA
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 | rule u42_hacktool_beacon_adaptixC2 { meta: description = "Detects AdaptixC2 beacon via basic functions" reference = "https://github.com/Adaptix-Framework/AdaptixC2" strings: $FileTimeToUnixTimestamp = {D1 65 F8 83 7D F4 1F 7E 17 8B 55 E4} $Proxyfire_RecvProxy = {B9 FC FF 0F 00 E8 6A 04 00 00} $timeCalc1 = {8D 82 A0 05 00 00 89 44 24 3C EB 07} $timeCalc2 = {FF D2 0F B7 44 24 28 66 3B} $b64_encoded_size = {83 C0 01 39 45 18 7E 22 8B 45 E4 C1 E0 08 89 C1} $manage = {C6 44 24 5F 00 48 8B 45 10 48 8B 00} condition: any of them } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 | rule u42_hacktool_beacon_adaptixC2 { meta: description = "Detects AdaptixC2 beacon via basic functions" reference = "https://github.com/Adaptix-Framework/AdaptixC2" strings: $FileTimeToUnixTimestamp = {D1 65 F8 83 7D F4 1F 7E 17 8B 55 E4} $Proxyfire_RecvProxy = {B9 FC FF 0F 00 E8 6A 04 00 00} $timeCalc1 = {8D 82 A0 05 00 00 89 44 24 3C EB 07} $timeCalc2 = {FF D2 0F B7 44 24 28 66 3B} $b64_encoded_size = {83 C0 01 39 45 18 7E 22 8B 45 E4 C1 E0 08 89 C1} $manage = {C6 44 24 5F 00 48 8B 45 10 48 8B 00} condition: any of them } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 | rule u42_hacktool_beaconGo_adaptixC2 { meta: description = "Detects AdaptixC2 beacon in GO via basic functions" reference = "https://github.com/Adaptix-Framework/AdaptixC2/tree/a7401fa3fdbc7ae6b632c40570292f844e40ff40/Extenders/agent_gopher" strings: $GetProcesses = {E8 96 4D E1 FF E8 96 4D E1 FF E8 96 4D E1 FF} $ConnRead = {0F 8E BD 00 00 00 4C 89 44 24 30 4C 89 54 24 40} $normalizedPath = {48 85 C9 74 0A 31 C0 31 DB 48 83 C4 38 5D C3 90 0F 1F 40 00} $Linux_GetOsVersion = {48 8D 05 51 D6 10 00 BB 0F 00 00 00} $Mac_GetOsVersion = {48 8D 05 AE 5A 0A 00 BB 30 00 00 00} condition: any of them } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 | rule u42_hacktool_adaptixC2_loader { meta: description = "Detects AdaptixC2 shellcode loader via API Hashing" reference = "https://github.com/Adaptix-Framework/AdaptixC2/blob/main/Extenders/agent_beacon/src_beacon/beacon/ApiDefines.h" strings: $hash_NtFlushInstructionCache = { 9E 65 A1 91 } $hash_VirtualAlloc = { 76 63 CE 63 } $hash_GetProcAddress = { DE 2A 4F 18 } $hash_LoadLibraryA = { FA D0 59 11} $Calc_Func_resolve_ApiFuncs = {06 00 00 0F B6 11 48 FF C1 85 D2 74 14 44 8D 42} condition: ( $hash_NtFlushInstructionCache and $hash_VirtualAlloc and $hash_GetProcAddress and $hash_LoadLibraryA ) or ( $Calc_Func_resolve_ApiFuncs ) } |
