Mayıs 2025’in başlarında, birim 42 araştırmacıları, kurumsal sistemleri enfekte etmek için ADAPTIXC2’nin birden fazla örneğini gözlemledi.
Birçok yüksek profilli komuta ve kontrol (C2) platformunun aksine, ADAPTIXC2 radarın altında uçtu ve daha az kamu belgeleri canlı düşman operasyonlarında kullanımını gösterdi.
Araştırmamız, ADAPTIXC2’nin yeteneklerini, dağıtım tekniklerini ve güvenlik ekiplerini bu gelişen tehdide karşı savunmak için gereken bilgilerle donatmak için kaçınma mekanizmalarını inceliyor.
ADAPTIXC2, penetrasyon test cihazları için başlangıçta oluşturulan yeni tanımlanmış, açık kaynaklı bir sömürü ve düşmanca emülasyon çerçevesidir.
Palo Alto Networks müşterileri, gelişmiş DNS güvenliği, gelişmiş tehdit önleme, gelişmiş URL filtreleme, gelişmiş orman yangını, Cortex XDR ve XSIAM yoluyla korumadan yararlanır. Olay Yanıt Yardımı için Ünite 42 Olay Müdahale Ekibine başvurun.
ADAPTIXC2 Genel Bakış ve Yetenekler
ADAPTIXC2, kırmızı takım operasyonları için tasarlanmış modüler, açık kaynaklı bir çekişsel çerçevedir.
ADAPTIXC2 arayüzü, grafiksel görünümde bağlantılı aracıları ve oturumları gösterir.
İşlevselliği, komut yürütme, dosya aktarımı, veri eksfiltrasyonu ve oturum yönetimini kapsar.
Temsilciler hem X86 hem de X64 mimarilerini destekler ve bağımsız yürütülebilir ürünler, DLL’ler, servis ikili dosyaları veya ham kabuk kodu olarak oluşturulabilir.
Temel özellikler arasında dosya sistemi manipülasyonu (dizin listeleri, dosya oluşturma, değişiklik, silme), işlem numaralandırma ve kontrolü ve keyfi ikili dosyaların yürütülmesi bulunur.
Gizli iletişim için ADAPTIXC2, eksfiltrasyon trafiğini meşru ağ akışlarına karıştırmak için SOCKS4/5 proxy, bağlantı noktası yönlendirme ve yapılandırılabilir yığın boyutlarını destekler.
Genişleticiler-plugin tarzı modüller-özel yükleri ve algılama-evlenme stratejilerini etkinleştirirken, Beacon Nesne Dosyaları (BOFS) C yüklerinin aracı işleminde çalışmasına izin verir.
Yapılandırma, bir boyut alanı, şifrelenmiş veri bloğu ve tehdit aktörlerinin ADAPTIXC2 Beacons’u kurduğu 16 bayt anahtar çoklu olayları yerleştirerek RC4 ile şifrelenir.
Üç işaret profili – HTTP, SMB ve TCP – çeşitli ağ kısıtlamaları altında esneklik sunar. Gözlemlenen kampanyalarda en yaygın olan HTTP profili, sunucuları, bağlantı noktalarını, SSL ayarlarını, HTTP yöntemlerini, URI’leri, başlıkları ve kullanıcı ajanı dizelerini yapılandırır.
Gerçek Dünya Saldırı Senaryoları
İki ayrı adaptixc2 enfeksiyonu araştırıldı. Birincisi, sahte Microsoft Teams’ın BT desteğini taklit eden mesajlar aracılığıyla sosyal mühendisliğe dayanarak kurbanları hızlı yardım oturumlarına çekti.
Çok aşamalı bir PowerShell Loader, meşru bir barındırma hizmetinden xor kodlu bir kabuk kodu yükünü indirdi, belleğe çözdü ve diske yazmayı önlemek için .NET’in dinamik çağrısını kullanarak başlattı.
Bir başlangıç kısayolu bırakılarak kalıcılık elde edildi. Enfeksiyon sonrası keşif, C2 bağlantısını kurmadan önce nltest.exe, whoami.exe ve ipconfig.exe çağırdı.
İkinci olay, AI tarafından üretildiği değerlendirilen bir PowerShell senaryosu içeriyordu. Base64 kodlu bir ADAPTIXC2 Beacon’u indirdi, yönetilmeyen bellek tahsis etti, VirtualProtect aracılığıyla kopyalandı ve yürütüldü ve çift kalıcılık uyguladı: şablonlar klasöründe DLL kaçırma ve bir çalışma anahtarı kayıt girişi.
Stilistik ipuçları-Verbose numaralandırılmış yorumlar ve kontrol işareti çıktı mesajları-ALONGSID AI dedektörü bayrakları, üretken araçların kullanımını gösterdi. Bu dava, AI yardımının sofistike, filtressiz yükleyicilerin gelişimini nasıl hızlandırdığını vurgulamaktadır.
ADAPTIXC2’nin canlı saldırılarda ortaya çıkması, yasadışı operasyonlar için kırmızı takım çerçevelerini özelleştiren rakiplere doğru bir kaymaya işaret eder.
Dinamik çağırma gösteren anormal bellek yürütme davranışlarını izleyin.
C2 altyapısını ortaya çıkarmak için şüpheli ikili dosyalardan RC4 şifreli yapılandırmaları çıkarın ve analiz edin.
Proxy ve port-forwarding tünellerini tespit etmek için uç nokta korumalarından yararlanın.
Uzlaşma göstergeleri
İşte yapılandırılmış bir tablo formatındaki veriler:
| Değer | Tip | Tanım |
|---|---|---|
| Bdb1b9e37f6467b5f98d151a43f280f319bacf18198b22f5722292a832933abab | SHA256 | ADAPTIXC2 BEACON kuran PowerShell betiği |
| 83ac38fb389a56a6bd5eb3b39abf2ad81fab84a7382da296a855f62f3cd9d629d | SHA256 | ADAPTIXC2 BEACON kuran PowerShell betiği |
| 19C174F74B9DE744502CDF47512FF10BA58248AA79A872AD64C2398E19580B | SHA256 | ADAPTIXC2 BEACON kuran PowerShell betiği |
| 750b29ca6d52a55d0ba8f13e29724e8d1b96066a944f4aac8598ae000f41 | SHA256 | ADAPTIXC2 BEACON kuran PowerShell betiği |
| B81aaa37867f0ec772951ac30a5616db4d23ea49f7fd1a07bb1f1f1f45e304fc625 | SHA256 | ADAPTIXC2 BEACON DLL |
| Df0d4ba2e0799f337daac2b0ad7a64d80b7bcd68b7b5d2a26e47b2f520c260 | SHA256 | ADAPTIXC2 BEACON EXE olarak |
| AD96A3DAB7F201DD7C938DCF70D6921849F92C1A20A84A28B28D11F40FB06 | SHA256 | Adaptixc2 Beacon’u yükleyen Shellcode |
| teknoloji sistemi[.]çevrimiçi | İhtisas | ADAPTIXC2 Etki Alanı |
| protoflin[.]com | İhtisas | ADAPTIXC2 Etki Alanı |
| roman[.]sanat | İhtisas | ADAPTIXC2 Etki Alanı |
| Picasosoftai[.]mağaza | İhtisas | ADAPTIXC2 Etki Alanı |
| dtt.alux[.]CC | İhtisas | ADAPTIXC2 Etki Alanı |
| kalıp direkleri[.]profesyonel | İhtisas | ADAPTIXC2 Etki Alanı |
| x6iye[.]alan | İhtisas | ADAPTIXC2 Etki Alanı |
| buenohuy[.]canlı | İhtisas | ADAPTIXC2 Etki Alanı |
| itfaiye[.]canlı | İhtisas | ADAPTIXC2 Etki Alanı |
| funglazed[.]canlı | İhtisas | ADAPTIXC2 Etki Alanı |
| çok[.]canlı | İhtisas | ADAPTIXC2 Etki Alanı |
| asmak[.]canlı | İhtisas | ADAPTIXC2 Etki Alanı |
| muatay[.]canlı | İhtisas | ADAPTIXC2 Etki Alanı |
| İcat etmek[.]canlı | İhtisas | ADAPTIXC2 Etki Alanı |
| Nissi[.]BG | İhtisas | ADAPTIXC2 Etki Alanı |
| Express1solutions[.]com | İhtisas | ADAPTIXC2 Etki Alanı |
| Iorestore[.]com | İhtisas | ADAPTIXC2 Etki Alanı |
| doamin[.]CC | İhtisas | ADAPTIXC2 Etki Alanı |
| regonalone[.]com | İhtisas | ADAPTIXC2 Etki Alanı |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.