Mayıs 2025’in başlarında, güvenlik ekipleri, ADAPTIXC2 olarak bilinen açık kaynaklı bir komuta ve kontrol çerçevesinden yararlanarak, sömürme sonrası etkinlikte ani bir artış gözlemlemeye başladı.
Başlangıçta penetrasyon testçilerine yardımcı olmak için geliştirilen bu çerçeve, artık kötü niyetli aktörler tarafından benimsenen bir dizi yetenek (file sistem manipülasyonu, süreç numaralandırma ve gizli kanal tünelleme) sunar.
Çerçevenin modüler tasarımı ve “genişleticiler” yoluyla genişletilebilirliği, geleneksel savunmalardan kaçabilecek özelleştirilebilir bir araç seti arayan rakipler için özellikle çekici hale getirir.
Palo Alto Networks araştırmacıları, Tehdit İstihbarat Besleri birden fazla sektörde enfeksiyonları bildirmeye başlayana kadar ADAPTIXC2’nin radar altında büyük ölçüde kaldığını belirtti.
Erken bir kampanya, sahte yardım masası uzaktan destek talepleri aracılığıyla sosyal mühendisliğe dayanarak, kullanıcıları çok aşamalı bir PowerShell yükleyicisini açığa çıkaran hızlı yardım oturumları yürütmeleri için kandırdı.
Dakikalar içinde, düşmanlar herhangi bir dosya bırakmadan, uç nokta algılama önlemlerini kaldırmadan ve kurban sunucusu üzerinde kalıcı kontrol oluşturmadan işaretin bellek içi yürütülmesini sağladılar.
Olaylar çoğaldıkça, ADAPTIXC2’yi dağıtmak için tasarlanmış AI tarafından üretilen komut dosyalarını içeren farklı bir müdahale kümesi ortaya çıktı.
Palo Alto Networks analistleri, büyük dil modelleri tarafından üretilen koda işaret eden stilistik işaretleyicileri – sayı sayısında yorum ve ayrıntılı çıktı onaylarını – tanımladı.
Bu komut dosyaları yalnızca Base64 kodlu bir yük yükünü indirmek ve şifresini çözmekle kalmaz, aynı zamanda .NET’in GetDelegateForfunctionPointer’ı doğrudan bellekte yürütmek için kullanılır.
Saldırganlar, sanalprotect ve createProcess gibi yerleşik Windows API’lerinden yararlanarak gizli konuşlandırma ve güvenilir kalıcılık elde ettiler.
Her iki senaryoda da etki önemli olmuştur. Meyveden çıkarılan ortamlar, SOCKS4/5 tünelleme ve bağlantı noktası yönlendirme ile kolaylaştırılan yanal hareket gördü, bu da küçük parçalardaki veri pespiltrasyonunun normal trafik modelleriyle karışmasını sağladı.
Belgelenmiş bir durumda, rakipler ADAPTIXC2’yi Asya’daki bir finans kurumuna yönelik bir saldırıda sis fidye yazılımı ile birleştirerek, çerçevenin çok yönlülüğünü ve aşağı akış yüklerini güçlendirme potansiyelini gösterdi.
Eski tespit sistemlerine dayanan kuruluşlar, kendilerini bu modüler, gelişen tehdit için kötü hazırlıklı buldular.
.webp)
Bağlantılı ajanların ve oturumların grafiksel görünümü, saldırganların mevcut hedefleri nasıl haritalamasını ve çok aşamalı operasyonları nasıl planladığını vurguluyor.
.webp){kind=tracking}
Şifreli yapılandırma parametreleri-PE başlığında anahtarlarının yanında saklanan RC4 şifreli yükler-iletişim profillerinin hızlı özelleştirilmesine izin verir.
Filless PowerShell Loader aracılığıyla enfeksiyon mekanizması
ADAPTIXC2 dağıtımının en sinsi unsurlarından biri, disk tabanlı savunmalardan kaçınmak için tamamen bellekte yürütülen filürsuz enfeksiyon mekanizmasıdır.
İlk vektör genellikle bir sosyal mühendislik e -postası veya uzaktan destek istemi ile teslim edilen görünüşte zararsız bir PowerShell betiği ile başlar.
Yürütme üzerine, komut dosyası, meşru bir bulut depolama hizmetinden baz64 kodlu bir kabuk kodu yükünü almaya çağırır.
.webp)
Daha sonra bu yükü çözer ve VirtualAlloc’u page_execute_readwrite izinleri ile bir bellek bölgesi tahsis etmek için çağırır.
Yansıma ve dinamik çağırma kullanarak yükleyici, kabuk kodu giriş noktasına işaret eden bir delege oluşturur:-
var ptr = GetDelegateForFunctionPointer(shellcodePtr, typeof(Action));
((Action)ptr)();Bu yöntem, minimal adli eserler bırakarak yazılı yürütülebilir ürünlere olan ihtiyacı ortadan kaldırır. Başarılı yürütmeyi takiben, komut dosyası kullanıcının başlangıç klasöründe CreateShortcut’u kullanır veya “Updater” gibi tanıdık bir ad altında kayıt defterine bir çalışma anahtarı yazar ve işaretin yeniden başlatılmasını sağlayarak.
Tespit kaçakçılığı, Beacon etkinliğini önceden tanımlanmış pencerelerle sınırlayan yapılandırılabilir Killdate ve çalışma zamanı parametreleri ve özelleştirilebilir kullanıcı ajanı dizeleri ve HTTP başlıkları ile daha da geliştirilir.
Bu nedenle güvenlik ekipleri, C2 kanallarını tam olarak kurmadan önce bu uçuş içi yükleri kesmek için telemetriyi bellek tabanlı algılamalar ve ağ-davranış analizi ile zenginleştirmelidir.
Dinamik çağırma API’leri ve anormal PowerShell alt süreçleri için sürekli izleme, bu modern, filessiz enfeksiyon zincirini bozmak için kritik öneme sahiptir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.