AdaptixC2 — универсальный C2‑инструмент для компрометации систем

AdaptixC2 — универсальный C2инструмент для компрометации систем

Источник: unit42.paloaltonetworks.com

Исследователи из подразделения 42 обнаружили и описали новую платформу управления с открытым исходным кодом — AdaptixC2. Платформа была отмечена в реальных инцидентах с мая 2025 года и, по выводам аналитиков, представляет собой универсальный инструмент для проведения враждебных операций с широкими возможностями контроля над скомпрометированными машинами.

Кратко о платформе

AdaptixC2 — модульный фреймворк, допускающий настраиваемые функциональные возможности и использующий зашифрованные конфигурации. Разработчики фреймворка заложили поддержку трёх основных типов beacon, реализованных через специальные профильные структуры. Модульность делает AdaptixC2 адаптивным и значимо ускоряет эволюцию тактик злоумышленников.

«AdaptixC2 показал себя как универсальный инструмент для проведения враждебных операций, включая широкий контроль над заражёнными машинами», — отмечают исследователи подразделения 42.

Как происходит компрометация

Аналитики выделяют несколько характерных элементов начального этапа атак с использованием AdaptixC2:

  • злоупотребление доверием к легитимным платформам (в частности, Microsoft Teams) для организации фишинговых сценариев;
  • социальная инженерия: злоумышленники выдавали себя за ИТ‑персонал и убеждали сотрудников участвовать в сессиях, в результате чего происходило развертывание beacon;
  • многоступенчатые загрузчики на базе PowerShell, которые загружают зашифрованные полезные данные из доверенных сервисов — это обеспечивает скрытность во время выполнения.

Технические сценарии развертывания

В ходе расследования выявлено два отличающихся сценария развертывания AdaptixC2. В одном из них злоумышленники использовали сгенерированный AI сценарий PowerShell, который:

  • иницировал запуск beacon непосредственно в памяти;
  • применял методы управления памятью — выделение unmanaged памяти и изменение атрибутов защиты (memory protection) — для облегчения выполнения в памяти;
  • сканировал и таргетировал определённые каталоги для реализации механизма DLL hijacking;
  • устанавливал persistence через ключи запуска в реестре и другие методы автозапуска.

Общее сходство во всех случаях указывает на предпочтение загрузчиков на базе PowerShell для развёртывания AdaptixC2 с целью сохранения низкой видимости. Злоумышленники также часто используют встроенные .NET сетевые возможности и другие легитимные механизмы для минимизации следов.

Механизмы устойчивости

Для сохранения доступа и обеспечения длительного присутствия на целевых системах наблюдались следующие приёмы:

  • создание ярлыков и других объектов для автозапуска;
  • использование DLL hijacking для скрытой загрузки модулей;
  • реализация persistence через реестр и системные механизмы автозапуска;
  • комбинация AI‑генерации скриптов с возможностями фреймворка, что повышает скорость адаптации и сложности обнаружения.

Текущая динамика и риск

Телеметрические наблюдения показывают рост числа серверов и доменов, связанных с AdaptixC2, что свидетельствует о расширении использования фреймворка разными акторaми. Модульная архитектура и возможность быстрой генерации сценариев (в том числе с помощью AI) создают постоянную и эволюционирующую угрозу.

Рекомендации для команд безопасности

Исследователи и авторы отчёта дают практические рекомендации для снижения риска компрометации и обнаружения AdaptixC2:

  • внедрить специальные правила обнаружения — в том числе Yara правила — ориентированные на артефакты AdaptixC2 и характерные загрузчики на базе PowerShell;
  • организовать proactive hunting по признакам злоупотребления Microsoft Teams и других доверенных сервисов для доставки зашифрованных полезных данных;
  • контролировать и логировать выполнение PowerShell-скриптов, а также применять ограничение на выполнение несигнатурного и необфусцированного кода;
  • отслеживать признаки использования техники in‑memory execution, управления памятью и попыток DLL hijacking;
  • повысить осведомлённость пользователей о фишинговых техниках, в том числе о сценариях, где злоумышленники выдают себя за IT‑персонал в рамках Microsoft Teams.

Вывод

AdaptixC2 — гибкая и модульная C2‑платформа, уже применяемая в реальных атаках. Комбинация AI‑сгенерированных скриптов и возможностей фреймворка увеличивает скорость адаптации злоумышленников и сложность обнаружения их действий. Командам безопасности следует принять упреждающие меры — внедрять специфические правила обнаружения, усилить мониторинг и проактивно hunt’ить по признакам использования доверенных платформ для доставки вредоносных компонентов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: