Аналитики обнаружили глобальную инфраструктуру фреймворка AdaptixC2 для скрытного управления скомпрометированными системами

AdaptixC2 представляет собой каркасную систему для организации командных серверов, отличающуюся простотой архитектуры и модульной структурой. В отличие от сложных комплексных платформ, его облегченный дизайн позволяет злоумышленникам быстро развертывать и адаптировать инфраструктуру под различные среды. Фреймворк поддерживает базовые функции управления скомпрометированными системами: выполнение команд, передачу файлов, внедрение в процессы, обеспечение устойчивости и сбор системной информации. Коммуникация обычно осуществляется через HTTP или HTTPS, что помогает маскировать деятельность под обычный веб-трафик.

Открытый код фреймворка делает его доступным для изучения и модификации различными сторонами - от исследователей безопасности до реальных злоумышленников. Для защитников он служит наглядным примером того, как кастомные и малоизвестные системы управления используются для уклонения от обнаружения.

Первоначальное обнаружение инфраструктуры AdaptixC2 стало возможным благодаря системе AttackCapture™ от Hunt.io, которая специализируется на выявлении и индексации открытых директорий, оставленных злоумышленниками в публичном доступе. Фильтрация результатов по тегу AdaptixC2 быстро выявила серверы, связанные с фреймворком, включая хосты с открытыми директориями, содержащими полезные нагрузки, конфигурационные файлы и веб-панели управления.

Анализ показал наличие серверов в разных странах, включая Казахстан, Ирландию и Швейцарию, с часто используемыми портами 80, 8000 и 14531. В открытых директориях обнаружены файлы объемом от нескольких мегабайт до более 70 МБ, содержащие скомпилированные агенты, следы развертывания и конфигурационные данные.

Детальное исследование файловых компонентов AdaptixC2 выявило семь ключевых функциональных областей, определяющих операционные возможности фреймворка. Бекон поддерживает многопротокольную коммуникацию через HTTP, SMB именованные каналы и прямые TCP-соединения, обеспечивая гибкость подключения в различных сетевых условиях. Расширенные техники уклонения включают динамическое разрешение API-функций через хэш-поиски, что значительно усложняет сигнатурное обнаружение.

Системные возможности управления предоставляют злоумышленникам полный контроль над файловой системой и процессами, включая выполнение программ с перехватом вывода. Функциональность передачи файлов реализована через зашифрованные каналы с поддержкой докачки и чанкованием данных для избежания обнаружения сетевыми системами мониторинга.

Сетевые возможности включают сложные механизмы туннелирования и перенаправления трафика, превращающие зараженные системы в прокси-серверы для более глубокого проникновения в сеть. Система выполнения Beacon Object File позволяет загружать и выполнять дополнительные модули без перекомпиляции, обеспечивая расширяемость функциональности. Управление конфигурацией включает функции операционной безопасности для долговременной устойчивости: даты самоуничтожения, ограничения рабочих часов и настраиваемые интервалы ожидания со случайной вариацией.

Исследование инфраструктуры выявило активное использование облачных провайдеров Hivelocity, OVHcloud и Constant Company для размещения командных серверов, что позволяет злоумышленникам маскировать свою деятельность среди легитимного бизнес-трафика. Анализ портов подтвердил, что 4321 является портом по умолчанию для серверов AdaptixC2, с дополнительными портами 6869 и 53362 в кастомных настройках.

Использование специализированных запросов HuntSQL позволило идентифицировать 56 активных хостов по характерному заголовку Server: AdaptixC2, что подтвердило масштаб развертывания фреймворка. Техники корреляции и перекрестного анализа в Hunt.io продемонстрировали возможность отслеживания связанной инфраструктуры через SSL-сертификаты, TLS-отпечатки и сетевые сигнатуры.

Для противодействия угрозам на основе AdaptixC2 эксперты рекомендуют применять многоуровневую стратегию защиты. На сетевом уровне эффективны мониторинг нестандартных портов, анализ необычных паттернов шифрования и сегментация сети для ограничения латерального перемещения. На уровне хостов следует фокусироваться на мониторинге подозрительной активности памяти и выполнения неподписанных бинарников, поскольку статическое обнаружение затруднено техниками динамического разрешения API. В системах обнаружения и реагирования рекомендуется создавать правила корреляции на основе характерных HTTP-заголовков, портов и сертификатов, а также внедрять поведенческий анализ для выявления туннелирования и многоуровневых коммуникаций.

Обнаружение активной инфраструктуры AdaptixC2 в глобальном масштабе подчеркивает важность проактивного мониторинга и анализа угроз для современных организаций. Легковесные кастомные фреймворки становятся все более популярными среди злоумышленников благодаря своей адаптивности и сложности обнаружения, что требует от защитников постоянного совершенствования методологий киберразведки и оперативного реагирования на инциденты.

IPv4

• 101.33.202.134
• 101.35.211.3
• 104.167.16.88
• 107.175.159.225
• 152.32.239.207
• 154.36.175.172
• 164.90.202.243
• 165.22.119.30
• 178.16.55.52
• 196.251.86.167
• 199.217.98.110
• 20.118.226.163
• 209.250.247.174
• 23.227.196.13
• 23.227.199.53
• 23.227.202.225
• 31.169.126.162
• 34.71.90.210
• 36.133.13.147
• 38.132.122.180
• 43.140.221.154
• 45.136.29.64
• 45.138.16.95
• 45.155.53.153
• 45.80.158.57
• 47.83.254.175
• 51.178.207.65
• 62.60.246.76
• 64.225.9.207
• 69.67.173.107
• 8.136.48.237
• 85.202.193.88
• 94.177.171.194