01/11/25
Это открытая платформу управления заражёнными системами, изначально предназначенная для тестирования на проникновение. Аналитики установили, что эту программу активно применяют специалисты, включая разработчика под ником RalfHacker, который управляет русскоязычными Telegram-каналами, продвигающими AdaptixC2 и его обновления. Об этом пишет Securitylab.
Специалисты Silent Push впервые обнаружили злоупотребление инструментом, когда изучали новый загрузчик CountLoader. Тогда они выявили, что на инфраструктуре, связанной с этим вредоносным компонентом, распространяются модифицированные версии AdaptixC2. После внедрения сигнатур для выявления CountLoader и AdaptixC2 специалисты зафиксировали всплеск активности злоумышленников, использующих этот фреймворк в глобальных кампаниях по доставке программ-вымогателей. В частности, исследователи отметили его применение операторами Akira — одной из наиболее известных группировок, действующих с 2023 года и атаковавших более 250 организаций в Северной Америке, Европе и Австралии с общим ущербом около 42 миллионов долларов.
AdaptixC2 позиционируется как расширяемая платформа для послепроникновенного доступа и эмуляции действий противника, применяемая специалистами по защите инфраструктуры. Серверная часть написана на Go, клиент — на C++ с использованием QT, что обеспечивает кроссплатформенность между Windows, Linux и macOS. Исходный код открыт и размещён в репозитории GitHub, где активнее всего работает пользователь под именем RalfHacker.
Аналитики отмечают, что AdaptixC2 стал ещё одним примером злоупотребления легальными средствами тестирования безопасности, которые используются злоумышленниками. Подобным образом применяются и другие инструменты, например evilginx2. Из-за этого разграничить этичное использование таких средств от криминального зачастую крайне сложно, что создаёт дополнительные трудности для специалистов по защите.
