Mayıs 2025’in başlarında, Ünite 42 araştırmacıları ADAPTIXC2’nin çeşitli sistemleri enfekte etmek için kullanıldığını gözlemledi.
Birçok C2 çerçevesi halkın dikkatini çekerken, ADAPTIXC2 büyük ölçüde radar altında kalmıştır-42 ünite gerçek dünya tehdit aktörleri tarafından konuşlandırılmasını belgeleyene kadar.
Bu makale ADAPTIXC2’nin yeteneklerini, son enfeksiyon senaryolarını ve savunucuların etkinliğini tahmin etmeleri ve engellemesi için rehberliği inceler.
ADAPTIXC2, tehlikeye atılan uç noktaların kapsamlı kontrolü için tasarlanmış geniş bir eksplokasyon sonrası eylemler sunar.
ADAPTIXC2, penetrasyon testçileri için hazırlanmış yeni tanımlanmış, açık kaynak sonrası bir sömürü ve düşmanca emülasyon çerçevesidir.
Operatörler, dosyaları ve dizinleri oluşturmak, değiştirmek, silmek veya numaralandırmak, işlemleri listelemek ve sonlandırmak ve yeni programlar başlatmak için dosya sistemini değiştirebilir.
Modüler “genişleticileri” dinleyiciler ve temsilciler için eklentiler gibi işlev görerek saldırganların ısmarlama yükler ve her bir hedefe göre uyarlanmış iletişim protokolleri oluşturmasını sağlıyor.
ADAPTIXC2 ayrıca, doğrudan aracının sürecinde çalışan küçük C tabanlı programlar olan Beacon Nesne Dosyalarını (BOFS) destekler ve güvenlik izlemesinden daha da kaçınır.
İletişim seçenekleri arasında HTTP tabanlı işaretçiler, adlandırılmış boru (SMB) dinleyicileri ve doğrudan TCP bağlantıları-özel sunucular, bağlantı noktaları, SSL ayarları, URI’ler, başlıklar ve kullanıcı ajanı dizeleri ile yapılandırılabilir.
SOCKS4/5 Proxying ve Port Yönetme Yardımı gibi gelişmiş tünelleme özellikleri ağ kısıtlamalarını atlar. Beacon ajanları hem X86 hem de X64 mimarilerini destekler ve bağımsız yürütülebilir ürünler, DLL’ler, servis ikili dosyaları veya ham kabuk kodu olarak derlenebilir.
Veri aktarım komutları, dosyaları yapılandırılabilir yığın boyutlarına ayırarak eksfiltrasyonu optimize ederek algılama riskini azaltır.
ADAPTIXC2 arayüzü, grafiksel görünümde bağlantılı aracıları ve oturumları gösterir.
ADAPTIXC2, Operasyonel Güvenlik Kontrollerini Killdate (Belirli Bir Tarihten Sonra Beacon’u otomatik olarak devre dışı bırakın) ve çalışma süresi (işaretlemeyi belirli saatlerle kısıtlayın) yoluyla uygular ve özel gizleme ve anti-analiz rutinlerine izin verir.
PE dosyalarında depolanan RC4 şifreli bir blob olan yapılandırma biçimi, savunucular tarafından sunucu listelerini, HTTP parametrelerini, zamanlama ayarlarını ve daha fazlasını çıkarmak için şifresini çözebilir ve kötü amaçlı örneklerin hızlı analizini sağlar.
Gerçek dünyadaki enfeksiyon senaryoları
Ünite 42, Mayıs 2025’te iki farklı ADAPTIXC2 kampanyasını belgeledi. İlk olarak, tehdit aktörleri Microsoft ekipleri aracılığıyla yardım masası desteğini taklit etmek için sosyal mühendislik ve kimlik avından yararlandı.
Mağdurlar, bir PowerShell yükleyicisinin XOR ile kodlanmış bir yük getirmesine, bellekte şifrelemesine ve kabuk kodunu enjekte etmesine ve meşru bir SSL korumalı uç noktalı bir HTTP işaretini dağıtmasına izin veren hızlı yardım uzaktan destek oturumları başlatmaya ikna oldular.
Yeniden başlatıldıktan sonra yükleyiciyi yeniden başlatmak için bir StartUp-Colder kısayolu oluşturularak kalıcılık elde edildi.
İkinci olay, gelişmiş AI tarafından üretilen kod sergiledi. Saldırganlar, Invoke-RestMethod aracılığıyla Base64 kodlu Shellcode’u indiren çok aşamalı bir PowerShell yükleyicisini komut dosyası için AI araçları kullandılar, bellek tahsis etti ve sanalprotect aracılığıyla korumaları ayarladı.
Persistence, şablonlar dizinindeki DLL kaçırmayı bir kayıt defteri çalıştırma anahtarıyla birleştirdi. Stilistik ayırt edici özellikler-Verbose numaralandırılmış yorumlar ve kontrol işareti çıktı mesajları-gizli, dinamik yükleyicilerin hazırlanmasında AI yardımını ortaya çıkarır.
Her iki senaryo da modern sömürgecilik ayırt edici özelliklerini paylaşıyor: Fileless infacting, kabuk kodunun dinamik çağrısı, meşru hizmetlerin kötüye kullanılması, modüler işaretleme ve sağlam kalıcılık mekanizmaları.
İkinci davanın DLL Hijack tekniği ve kayıt defteri tabanlı kalıcılığının altını çiziyor ADAPTIXC2 gelişen tehdit duruşunun altını çiziyor.
Savunma Önerileri
Güvenlik ekipleri ADAPTIXC2’yi yükselen bir tehlike olarak ele almalıdır. .NET işlemlerinde bellek içi RC4 şifre çözme rutinleri, olağandışı dinamik çağrı çağrıları ve RC4 anahtar ekstraksiyon mantığı için izleme işaret dağıtımlarını işaret edebilir.
Dinamik Bellek Tahsisi, Virtual Sprotect ve GetDelegateForfunctionPointer kullanarak PowerShell komut dosyaları avlamak erken uyarılar sağlar.
Ağ savunmaları, özel başlıklar veya kullanıcı ajanları ile atipik URI’lara HTTP post isteklerini incelemeli ve adlandırılmış SMB trafik modellerini izlemelidir.
Palo Alto Networks müşterileri katmanlı korumalardan yararlanır: gelişmiş DNS güvenliği ve gelişmiş URL filtreleme bloğu bilinen kötü amaçlı alanlar ve URL’ler; Gelişmiş Tehdit Önleme ve Orman Fire, sömürü davranışlarını ve yeni örnekleri tespit eder; Cortex XDR ve XSIAM, anormal bellek içi enjeksiyon ve işaretleme aktivitelerini tanımlamak için uç nokta önleme motorlarını ve telemetri analitiğini birleştirir.
Algılama imzalarının ortaya çıkan ADAPTIXC2 göstergeleriyle düzenli olarak güncellenmesi-Server alanları, benzersiz URI’ler ve özelleştirilmiş kullanıcı ajanı dizeleri-savunmaları güçlendirecektir.
ADAPTIXC2’nin açık kaynaklı doğası, hem kırmızı takımlar hem de tehdit aktörleri tarafından hızlı özelleştirmeyi mümkün kılar. Savunucular şifrelenmiş konfigürasyonlar için çıkarma araçlarını geliştirirken, topluluk genelinde çıkarılan profilleri ve göstergeleri paylaşmak hayati önem taşır.
Kuruluşlar, uzaktan destek politikalarını periyodik olarak gözden geçirmeli ve sertleştirmeli, en az ayrıcalıklı uzaktan erişim kontrollerini uygulamalı ve ADAPTIXC2 gibi gizli sisatlama sonrası çerçeveleri engellemek için sağlam PowerShell günlüğünü korumalıdır.
Bir uzlaşmadan şüpheleniyorsanız, ünite 42 olay yanıtı ile iletişime geçin. Uyarlanabilir C2 araçlarına karşı uyanık kalın ve zamanında korumaları dağıtmak için siber tehdit ittifakı ile işbirliği yapın.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.