Фреймворк AdaptixC2 начали использовать в России

В ходе расследования одного из компьютерных инцидентов исследователи Angara MTDR выявили инструмент AdaptixC2, который злоумышленники использовали для закрепления в системе. Этот фреймворк значительно отличался от другого типового и самописного вредоносного программного обеспечения, которое применялось злоумышленниками ранее. Образец обладал обширным набором команд, был хорошо спроектирован, а также имел широкие возможности для конфигурации.

В результате исследования эксперты Angara MTDR определили, что хакеры использовали агент Beacon фреймворка для постэксплуатации AdaptixC2.

«Фреймворк для постэксплуатации AdaptixC2 часто сравнивают с такими известными инструментами, как Cobalt Strike и Brute Ratel. В отличие от них, AdaptixC2 полностью бесплатен и доступен на GitHub. Ранее о его применении в кибератаках на организации по всему миру сообщали известные компании, оказывающие услуги в области информационной безопасности. Поэтому появление AdaptixC2 в арсенале злоумышленников, атакующих российские организации, было лишь вопросом времени», — отметил Александр Гантимуров, руководитель направления обратной разработки отдела реагирования и цифровой криминалистики Angara MTDR.

«Подобные фреймворки существенно упрощают и автоматизируют рутинные и сложные операции после получения доступа к системе, такие как закрепление в инфраструктуре, сбор данных, повышение привилегий и горизонтальное перемещение по сети. Это делает атаку более управляемой и эффективной, — отметила Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara MTDR. — Ранее мы уже наблюдали, как публично доступные инструменты, например, различные утилиты туннелирования, входят в привычный обиход злоумышленников. В данном случае мы имеем дело с целым фреймворком, который предоставляет мощные и гибкие возможности для управления зараженными системами после первичного взлома».

По мнению исследователей, фреймворк AdaptixC2 не станет исключением, и его будут все чаще встречать в арсенале злоумышленников.

В настоящее время злоумышленники не вносят значительных изменений в базовые настройки используемых инструментов и создаваемой ими вредоносной нагрузки. Поэтому фреймворк AdaptixC2 можно выявить на раннем этапе атаки с помощью стандартных антивирусных решений и несложных сетевых правил выявления.