В процессе анализа одного из киберинцидентов специалисты Angara MTDR обнаружили фреймворк AdaptixC2, применявшийся злоумышленниками для сохранения контроля над системой. Данный инструмент кардинально отличался от стандартного и кустарного вредоносного ПО, которое ранее использовали атакующие. Экземпляр обладал широким набором функций, был тщательно разработан и предлагал разнообразные варианты настройки. Об этом CNews проинформировали сотрудники Angara Security.
По итогам изучения эксперты Angara MTDR установили, что для постэксплуатации злоумышленники задействовали агент Beacon в составе фреймворка AdaptixC2.
«Фреймворк для постэксплуатации AdaptixC2 нередко сопоставляют с популярными инструментами вроде Cobalt Strike и Brute Ratel. В отличие от них, AdaptixC2 распространяется бесплатно и находится в открытом доступе на GitHub. Ранее о его применении в кибератаках против международных компаний сообщали авторитетные поставщики услуг кибербезопасности. Таким образом, включение AdaptixC2 в арсенал преступников, нацеленных на российские структуры, было предсказуемым развитием событий», – подчеркнул Александр Гантимуров, руководитель направления реверс-инжиниринга в отделе реагирования и цифровой криминалистики Angara MTDR.
«Подобные фреймворки существенно облегчают и автоматизируют как рутинные, так и сложные задачи после компрометации системы, включая укрепление позиций в инфраструктуре, сбор информации, эскалацию привилегий и перемещение внутри сети. Это повышает управляемость и результативность атаки, – пояснила Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara MTDR. – Ранее мы уже фиксировали, как общедоступные инструменты, например, средства туннелирования, становятся привычным элементом арсенала злоумышленников. Теперь мы столкнулись с целым фреймворком, предлагающим развитые и адаптивные возможности для управления скомпрометированными системами после первоначального проникновения».
Как полагают аналитики, фреймворк AdaptixC2 не станет исключением, и его распространённость в арсеналах киберпреступников будет неуклонно расти.
На текущий момент злоумышленники не вносят существенных модификаций в базовые конфигурации применяемых инструментов и создаваемого вредоносного кода. Благодаря этому фреймворк AdaptixC2 может быть обнаружен на начальных этапах атаки с помощью традиционных антивирусных продуктов и простых сетевых правил детектирования.
