AdaptixC2: открытая C2-платформа используется преступниками, связана с RalfHacker

Аналитики Silent Push выявили, что AdaptixC2 — бесплатная платформа управления (C2) с открытым исходным кодом, изначально ориентированная на тестирование на проникновение и состязательную эмуляцию — активно используется злоумышленниками для развертывания вредоносных полезных нагрузок. Расследование показало тесные связи платформы с российским преступным миром, в частности через фигуру, известную под псевдонимом RalfHacker.

Краткая суть инцидента

Исследование началось с анализа CountLoader — загрузчика вредоносного ПО, при изучении которого была впервые замечена связь с AdaptixC2. Это подтолкнуло команду Silent Push к внедрению сигнатур обнаружения и дальнейшему мониторингу. Впоследствии количество сообщений о случаях использования AdaptixC2 в реальных кибератаках возросло, что свидетельствует о его широком распространении среди злонамеренных акторов.

Технические характеристики AdaptixC2

• Архитектура: сервер реализован на Golang.
• Клиентская часть: GUI-клиент написан с использованием C++ и QT, работает на Linux, Windows и macOS.
• Назначение: расширяемая платформа для постэксплуатации и состязательной эмуляции.

Как удалось установить связь и отслеживать инфраструктуру

Изначально разведывательные усилия привязали AdaptixC2 к конкретному IP-адресу C2. Это облегчило техническое отслеживание серверов с помощью веб-сканера Silent Push и позволило выявить дополнительные инстансы. Участие RalfHacker в разработке и распространении платформы — в том числе через русскоязычный Telegram-канал — усиливает основание для беспокойства о незаконном использовании инструмента.

Этические и оперативные вызовы

Ситуация подчёркивает проблему двойственной природы инструментов кибербезопасности: тот же инструмент, который служит легитимным целям red team и тестирования, может быть перепрофилирован для атак. Участие разработчика в публичном продвижении AdaptixC2 вызывает вопросы о границах между этичным взломом и преступной деятельностью.

«Сохраняющаяся тенденция к тому, что злоумышленники маскируют свои действия в киберпространстве под «красную команду» усложняет усилия по смягчению последствий», — отмечают аналитики Silent Push.

Последствия и рекомендации

• Исследователям и защитным командам следует учитывать возможность того, что инструменты с открытым исходным кодом могут использоваться злоумышленниками; необходимо дифференцированно анализировать контекст их применения.
• Организациям стоит внедрить и актуализировать сигнатуры и правила обнаружения, сопоставимые с теми, которые внедрила команда Silent Push, а также мониторить связанные IP и домены.
• Рекомендуется повышать осведомлённость специалистов и менеджеров о рисках перепрофилирования легитимных инструментов и о признаках их злоупотребления (например, связь с публичными каналами распространения, такими как Telegram).
• Необходимо поддерживать сотрудничество между исследовательскими группами для быстрых обменов информацией о новых инстансах и тактиках злоумышленников.

Дальнейшие действия Silent Push

Команда Silent Push намерена продолжить мониторинг инфраструктуры, связанной с AdaptixC2 и аналогичными платформами, а также отслеживать новые случаи эксплуатации. Такая бдительность важна для понимания меняющегося ландшафта тактик злоумышленников и для своевременного информирования о новых событиях.

Вывод

Случай с AdaptixC2 демонстрирует, что доступность мощных открытых инструментов упрощает злоумышленникам как разработку, так и распространение инфраструктуры для атак. Разделение между законным и злонамеренным использованием часто стирается, поэтому исследователи и защитники должны сочетать технический мониторинг с этической оценкой и межведомственным сотрудничеством, чтобы уменьшить риски и своевременно реагировать на угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.