Исследователи из подразделения 42 обнаружили и описали новую платформу управления с открытым исходным кодом — AdaptixC2. Платформа была отмечена в реальных инцидентах с мая 2025 года и, по выводам аналитиков, представляет собой универсальный инструмент для проведения враждебных операций с широкими возможностями контроля над скомпрометированными машинами.
Кратко о платформе
AdaptixC2 — модульный фреймворк, допускающий настраиваемые функциональные возможности и использующий зашифрованные конфигурации. Разработчики фреймворка заложили поддержку трёх основных типов beacon, реализованных через специальные профильные структуры. Модульность делает AdaptixC2 адаптивным и значимо ускоряет эволюцию тактик злоумышленников.
«AdaptixC2 показал себя как универсальный инструмент для проведения враждебных операций, включая широкий контроль над заражёнными машинами», — отмечают исследователи подразделения 42.
Как происходит компрометация
Аналитики выделяют несколько характерных элементов начального этапа атак с использованием AdaptixC2:
- злоупотребление доверием к легитимным платформам (в частности, Microsoft Teams) для организации фишинговых сценариев;
- социальная инженерия: злоумышленники выдавали себя за ИТ‑персонал и убеждали сотрудников участвовать в сессиях, в результате чего происходило развертывание beacon;
- многоступенчатые загрузчики на базе PowerShell, которые загружают зашифрованные полезные данные из доверенных сервисов — это обеспечивает скрытность во время выполнения.
Технические сценарии развертывания
В ходе расследования выявлено два отличающихся сценария развертывания AdaptixC2. В одном из них злоумышленники использовали сгенерированный AI сценарий PowerShell, который:
- иницировал запуск beacon непосредственно в памяти;
- применял методы управления памятью — выделение unmanaged памяти и изменение атрибутов защиты (memory protection) — для облегчения выполнения в памяти;
- сканировал и таргетировал определённые каталоги для реализации механизма DLL hijacking;
- устанавливал persistence через ключи запуска в реестре и другие методы автозапуска.
Общее сходство во всех случаях указывает на предпочтение загрузчиков на базе PowerShell для развёртывания AdaptixC2 с целью сохранения низкой видимости. Злоумышленники также часто используют встроенные .NET сетевые возможности и другие легитимные механизмы для минимизации следов.
Механизмы устойчивости
Для сохранения доступа и обеспечения длительного присутствия на целевых системах наблюдались следующие приёмы:
- создание ярлыков и других объектов для автозапуска;
- использование DLL hijacking для скрытой загрузки модулей;
- реализация persistence через реестр и системные механизмы автозапуска;
- комбинация AI‑генерации скриптов с возможностями фреймворка, что повышает скорость адаптации и сложности обнаружения.
Текущая динамика и риск
Телеметрические наблюдения показывают рост числа серверов и доменов, связанных с AdaptixC2, что свидетельствует о расширении использования фреймворка разными акторaми. Модульная архитектура и возможность быстрой генерации сценариев (в том числе с помощью AI) создают постоянную и эволюционирующую угрозу.
Рекомендации для команд безопасности
Исследователи и авторы отчёта дают практические рекомендации для снижения риска компрометации и обнаружения AdaptixC2:
- внедрить специальные правила обнаружения — в том числе Yara правила — ориентированные на артефакты AdaptixC2 и характерные загрузчики на базе PowerShell;
- организовать proactive hunting по признакам злоупотребления Microsoft Teams и других доверенных сервисов для доставки зашифрованных полезных данных;
- контролировать и логировать выполнение PowerShell-скриптов, а также применять ограничение на выполнение несигнатурного и необфусцированного кода;
- отслеживать признаки использования техники in‑memory execution, управления памятью и попыток DLL hijacking;
- повысить осведомлённость пользователей о фишинговых техниках, в том числе о сценариях, где злоумышленники выдают себя за IT‑персонал в рамках Microsoft Teams.
Вывод
AdaptixC2 — гибкая и модульная C2‑платформа, уже применяемая в реальных атаках. Комбинация AI‑сгенерированных скриптов и возможностей фреймворка увеличивает скорость адаптации злоумышленников и сложность обнаружения их действий. Командам безопасности следует принять упреждающие меры — внедрять специфические правила обнаружения, усилить мониторинг и проактивно hunt’ить по признакам использования доверенных платформ для доставки вредоносных компонентов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "AdaptixC2 — универсальный C2‑инструмент для компрометации систем".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.