В открытом доступе обнаружен опасный фреймворк AdaptixC2 для кибератак

Исследователи кибербезопасности компании Palo Alto Networks обнаружили активное использование злоумышленниками фреймворка AdaptixC2 - изначально созданного для легального тестирования на проникновение инструмента, который теперь применяется в реальных атаках на организации. Этот открытый пост-эксплуатационный фреймворк демонстрирует растущую сложность киберугроз, сочетая в себе модульную архитектуру, методы уклонения от обнаружения и искусственный интеллект для автоматизации атак.

Описание

AdaptixC2 представляет собой полнофункциональную платформу для управления компрометированными системами после первоначального проникновения. Фреймворк поддерживает манипуляции с файловой системой, перечисление процессов и эксфильтрацию данных с настраиваемым размером частей для обхода сетевых систем обнаружения. Особую опасность представляет модульная архитектура с поддержкой так называемых "расширителей", позволяющих злоумышленникам адаптировать вредоносные нагрузки и методы уклонения под конкретную целевую среду.

Технические возможности фреймворка включают поддержку Beacon Object Files (BOF) - компонентов на языке C, которые выполняются в процессе легитимного агента, что значительно затрудняет их обнаружение. AdaptixC2 генерирует нагрузки в различных форматах: исполняемые файлы, DLL-библиотеки, сервисные исполняемые файлы или чистый шелл-код, совместимый с архитектурами x86 и x64. Для скрытной коммуникации фреймворк использует туннелирование через SOCKS4/5 прокси и перенаправление портов, что обеспечивает устойчивость подключения даже в сетях с ограниченным доступом.

Операционные функции безопасности, такие как KillDate и WorkingTime, позволяют маякам работать только в заданные периоды времени, эффективно маскируя их активность под легитимный сетевой трафик. Это делает обнаружение атаки особенно сложной задачей для систем защиты.

Аналитики Unit 42 задокументировали два различных сценария заражения, демонстрирующих тактику развертывания AdaptixC2. В первом случае злоумышленники использовали методы социальной инженерии, impersonating (выдавая себя за) сотрудников ИТ-поддержки через фишинг в Microsoft Teams. Сообщения с темами вроде "Help Desk (External) | Microsoft Teams" побуждали жертв инициировать удаленное подключение через Quick Assist, что предоставляло атакующим доступ к системам без срабатывания периметровых средств защиты.

Затем загрузчик PowerShell извлекал зашифрованную нагрузку с легитимного сервиса, расшифровывал её с использованием XOR-ключа и выполнял в памяти через метод GetDelegateForFunctionPointer платформы .NET. Такой fileless (беcфайловый) подход минимизировал риски обнаружения, а устойчивость обеспечивалась через ярлык в папке автозагрузки. Послеэксплуатационная разведка включала использование инструментов nltest.exe, whoami.exe и ipconfig.exe с последующей коммуникацией с сервером командования и управления.

Второй сценарий демонстрирует использование искусственного интеллекта для генерации скриптов PowerShell - их выдают многословные комментарии и значки галочек в выходных сообщениях. Такие скрипты загружали шелл-код в кодировке Base64, выделяли память и выполняли его с использованием динамического вызова. Устойчивость обеспечивалась через DLL hijacking (перехват загрузки библиотек) с размещением malicious (вредоносной) msimg32.dll в директории APPDATA\Microsoft\Windows\Templates и созданием ключа автозагрузки в реестре с именем "Updater".

Конфигурация AdaptixC2, зашифрованная алгоритмом RC4, хранится в секции .rdata PE-файла и включает 4-байтовый размер, зашифрованные данные и 16-байтовый ключ. Защитники могут использовать инструменты извлечения для анализа полей, таких как тип агента, настройки SSL и HTTP-параметры. По умолчанию HTTP-профиль нацелен на адрес 172.16.196[.]1:4443 через HTTPS.

Растущая популярность фреймворка подтверждается его использованием в паре с Fog ransomware (шифровальщиком-вымогателем) при недавней атаке на финансовое учреждение в Азии, что сигнализирует о его интеграции в более масштабные вредоносные кампании. Телеметрия показывает увеличение активности серверов AdaptixC2, указывая на более широкое распространение среди киберпреступников. Аналитики PolySwarm считают AdaptixC2 emerging threat (формирующейся угрозой), требующей повышенного внимания со стороны специалистов по безопасности.

Возросшая доступность сложных инструментов кибератак в открытом доступе представляет серьезную проблему для организаций по всему миру. Модульная архитектура, поддержка различных методов уклонения от обнаружения и возможность тонкой настройки под конкретную цель делают AdaptixC2 особенно опасным инструментом в руках квалифицированных злоумышленников. Для эффективного противодействия таким угрозам необходимы многоуровневые стратегии защиты, включающие как технические меры, так и обучение сотрудников распознаванию социальной инженерии.