- 20,496
- 46
- 8 Ноя 2022
Пентест-платформа AdaptixC2 теперь верно служит чёрным хакерам.
Исследователи Palo Alto Networks сообщили о росте атак с применением открытой платформы AdaptixC2, которая изначально разрабатывалась для тестов на проникновение, но оказалась востребована киберпреступниками. Первые следы её использования специалисты Unit 42 зафиксировали в мае 2025 года при расследовании инцидентов в корпоративных сетях.
В отличие от известных фреймворков управления заражёнными машинами, AdaptixC2 долго оставался в тени и практически не упоминался в реальных атаках, однако последние события показали, что злоумышленники активно адаптируют его под собственные сценарии.
AdaptixC2 построен по модульной схеме и ориентирован на эмуляцию действий атакующих в ходе наступательных командных учений. Интерфейс отображает агенты и их сессии в наглядном виде, что упрощает контроль инфраструктуры. Набор функций охватывает выполнение произвольных команд, пересылку файлов, извлечение данных и управление активными соединениями.
Для внедряемых агентов предусмотрены варианты под x86 и x64, которые могут собираться как отдельные исполняемые файлы, библиотеки, сервисные компоненты или чистый шелл-код. Среди встроенных возможностей — просмотр содержимого каталогов, создание и удаление файлов, управление процессами и запуск любых бинарных объектов.
Для скрытой связи предусмотрены прокси SOCKS4/5, проброс портов и настройка размеров передаваемых блоков, что позволяет трафику маскироваться под легитимный. Дополнительно расширения-экстендеры позволяют подключать собственные полезные нагрузки и техники обхода защит, а поддержка Beacon Object Files открывает запуск C-модулей в памяти процесса агента. Конфигурация каждого экземпляра зашифрована алгоритмом RC4 и включает размер блока, зашифрованные данные и 16-байтовый ключ.
Фреймворк поддерживает три профиля связи — HTTP, SMB и TCP. Наиболее востребованным в зафиксированных атаках оказался HTTP-режим, где задаются параметры серверов, номера портов, использование SSL, методы HTTP-запросов, URI, наборы заголовков и строка User-Agent.
В одной из кампаний вредонос распространялся через поддельные сообщения Microsoft Teams, имитирующие обращения IT-поддержки. Жертв склоняли к открытию сессии Quick Assist, после чего на машину загружался многоступенчатый PowerShell -скрипт. Он скачивал с легитимного хостинга закодированный с использованием XOR шелл-код, расшифровывал его прямо в памяти и запускал через механизмы динамического вызова .NET, обходя запись на диск.
Для закрепления в системе создавался ярлык в автозагрузке. После установки злоумышленники выполняли разведку с помощью утилит nltest.exe, whoami.exe и ipconfig.exe, а затем устанавливали постоянный канал связи с сервером управления.
В другом случае был задействован скрипт на PowerShell, который, по оценке специалистов, был сгенерирован с помощью нейросети . Он загружал закодированный в Base64 бинарный объект AdaptixC2, размещал его в выделенной области памяти и активировал с использованием VirtualProtect.
Для сохранения контроля применялись две техники — DLL-подмена в каталоге Templates и запись в ключ автозагрузки реестра. Характерные признаки в виде нумерованных комментариев и выводимых сообщений с галочками, а также срабатывание детекторов — указывали на автоматическую генерацию кода. Этот эпизод показал, что использование ИИ ускоряет разработку сложных бесфайловых загрузчиков.
Фиксация активности AdaptixC2 в реальных атаках свидетельствует о переходе преступников к активному переосмыслению инструментов, созданных для пентестов . Специалисты рекомендуют отслеживать подозрительные сценарии, когда код выполняется только в памяти через динамические вызовы, а также анализировать конфигурации с RC4-шифрованием для выявления инфраструктуры управления. Дополнительно стоит уделять внимание детектированию скрытых туннелей проксирования и проброса портов, которые активно используются этой платформой.
Исследователи Palo Alto Networks сообщили о росте атак с применением открытой платформы AdaptixC2, которая изначально разрабатывалась для тестов на проникновение, но оказалась востребована киберпреступниками. Первые следы её использования специалисты Unit 42 зафиксировали в мае 2025 года при расследовании инцидентов в корпоративных сетях.
В отличие от известных фреймворков управления заражёнными машинами, AdaptixC2 долго оставался в тени и практически не упоминался в реальных атаках, однако последние события показали, что злоумышленники активно адаптируют его под собственные сценарии.
AdaptixC2 построен по модульной схеме и ориентирован на эмуляцию действий атакующих в ходе наступательных командных учений. Интерфейс отображает агенты и их сессии в наглядном виде, что упрощает контроль инфраструктуры. Набор функций охватывает выполнение произвольных команд, пересылку файлов, извлечение данных и управление активными соединениями.
Для внедряемых агентов предусмотрены варианты под x86 и x64, которые могут собираться как отдельные исполняемые файлы, библиотеки, сервисные компоненты или чистый шелл-код. Среди встроенных возможностей — просмотр содержимого каталогов, создание и удаление файлов, управление процессами и запуск любых бинарных объектов.
Для скрытой связи предусмотрены прокси SOCKS4/5, проброс портов и настройка размеров передаваемых блоков, что позволяет трафику маскироваться под легитимный. Дополнительно расширения-экстендеры позволяют подключать собственные полезные нагрузки и техники обхода защит, а поддержка Beacon Object Files открывает запуск C-модулей в памяти процесса агента. Конфигурация каждого экземпляра зашифрована алгоритмом RC4 и включает размер блока, зашифрованные данные и 16-байтовый ключ.
Фреймворк поддерживает три профиля связи — HTTP, SMB и TCP. Наиболее востребованным в зафиксированных атаках оказался HTTP-режим, где задаются параметры серверов, номера портов, использование SSL, методы HTTP-запросов, URI, наборы заголовков и строка User-Agent.
В одной из кампаний вредонос распространялся через поддельные сообщения Microsoft Teams, имитирующие обращения IT-поддержки. Жертв склоняли к открытию сессии Quick Assist, после чего на машину загружался многоступенчатый PowerShell -скрипт. Он скачивал с легитимного хостинга закодированный с использованием XOR шелл-код, расшифровывал его прямо в памяти и запускал через механизмы динамического вызова .NET, обходя запись на диск.
Для закрепления в системе создавался ярлык в автозагрузке. После установки злоумышленники выполняли разведку с помощью утилит nltest.exe, whoami.exe и ipconfig.exe, а затем устанавливали постоянный канал связи с сервером управления.
В другом случае был задействован скрипт на PowerShell, который, по оценке специалистов, был сгенерирован с помощью нейросети . Он загружал закодированный в Base64 бинарный объект AdaptixC2, размещал его в выделенной области памяти и активировал с использованием VirtualProtect.
Для сохранения контроля применялись две техники — DLL-подмена в каталоге Templates и запись в ключ автозагрузки реестра. Характерные признаки в виде нумерованных комментариев и выводимых сообщений с галочками, а также срабатывание детекторов — указывали на автоматическую генерацию кода. Этот эпизод показал, что использование ИИ ускоряет разработку сложных бесфайловых загрузчиков.
Фиксация активности AdaptixC2 в реальных атаках свидетельствует о переходе преступников к активному переосмыслению инструментов, созданных для пентестов . Специалисты рекомендуют отслеживать подозрительные сценарии, когда код выполняется только в памяти через динамические вызовы, а также анализировать конфигурации с RC4-шифрованием для выявления инфраструктуры управления. Дополнительно стоит уделять внимание детектированию скрытых туннелей проксирования и проброса портов, которые активно используются этой платформой.
- Источник новости
- www.securitylab.ru
