Новый отчет аналитиков описывает AdaptixC2 — легкую и адаптируемую систему управления (C2), которую злоумышленники активно используют для развертывания и управления вредоносным ПО. Благодаря открытому исходному коду платформа демонстрирует высокую гибкость и поддерживает множество протоколов связи, что усложняет её обнаружение и нейтрализацию в корпоративных окружениях.
Что такое AdaptixC2?
AdaptixC2 — это фреймворк C2 с открытой архитектурой, рассчитанный на работу в разных операционных средах. Он поддерживает коммуникации по протоколам HTTP, SMB и TCP, что позволяет злоумышленникам подбирать наиболее подходящий вектор доставки и маскировки трафика под легитимную активность.
Ключевые возможности и векторы атаки
- Гибкие методы развертывания: автономные исполняемые файлы (EXE), Windows Services, внедрение библиотек DLL и выполнение шелл‑кода — множество путей для обхода средств защиты.
- Динамическое разрешение API: адреса функций Windows разрешаются во время выполнения, что затрудняет статический анализ и детектирование по сигнатурам.
- Надежная передача файлов: обмен данными по зашифрованным каналам с использованием разрозненной (fragmented) системы передачи, повышающей устойчивость к сетевым сбоям.
- Beacon и перемещение внутри сети: компонент Beacon способен превращать скомпрометированные хосты в прокси, реализуя переадресацию портов TCP и UDP и облегчая латеральное передвижение.
- Уклонение от обнаружения: модульность и настраиваемость фреймворка позволяют обходить традиционные системы, основанные на сигнатурах.
Почему AdaptixC2 опасен для организаций
Особенность AdaptixC2 в том, что он комбинирует несколько техник, повышающих устойчивость и скрытность атак: динамическое разрешение API, разнообразные векторы закрепления и фрагментированная пересылка данных. Кроме того, Beacon‑функциональность делает каждую скомпрометированную машину потенциальной «переправой» для дальнейшего проникновения в сеть организации.
«AdaptixC2 использует расширенные возможности для установления и поддержания закрепления в зараженных системах», — отмечают авторы отчета.
Сложности обнаружения и инфраструктура злоумышленников
Традиционные методы детектирования часто оказываются неэффективны: динамический и настраиваемый характер платформы сводит на нет статические индикаторы. В ходе исследования было идентифицировано 102 активных сервера C2, размещённых у разных хостинг‑провайдеров. Злоумышленники зачастую используют легитимные инфраструктуры, что дополнительно усложняет трассировку и реагирование.
Тем не менее аналитика выявила ряд признаков, которые могут помогать при выявлении компрометации: специфические HTTP‑заголовки, конфигурации, значения портов прослушивания по умолчанию и имена сертификатов. Эти элементы пригодны для создания более точных правил обнаружения.
Рекомендации по снижению рисков
- Сегментация сети: ограничить возможности латерального перемещения и перекрыть путь от прокси‑хостов к критическим системам.
- Сетевые меры защиты: глубокая проверка пакетов (DPI) для выявления аномалий в трафике, мониторинг подключений к нестандартным портам и анализ паттернов передачи данных.
- Защита на хостах: сосредоточиться на мониторинге подозрительной активности в памяти, поведении процессов и изменениях реестра, связанных с механизмами закрепления.
- Поведенческое обнаружение: применять поведенческие модели и EDR, а не полагаться исключительно на статические индикаторы (IOCs).
- Контроль сертификатов и конфигураций: отслеживать необычные сертификаты и нестандартные конфигурации веб‑интерфейсов для выявления возможных C2‑ношений.
- План реагирования: предусмотреть процедуры быстрой изоляции и расследования инцидентов с учётом возможности перекрытия трафика через скомпрометированные хосты.
Вывод
AdaptixC2 представляет собой серьёзную угрозу именно из‑за своей гибкости, модульности и способности маскироваться под легитимную инфраструктуру. Организациям рекомендуется усиливать сетевую сегментацию, внедрять поведенческие механизмы обнаружения и фокусироваться на мониторинге активности хостов, чтобы снизить вероятность успешного развертывания и распространения этой платформы в корпоративной сети.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "AdaptixC2: адаптируемая C2-платформа с уклонением и закреплением".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
