AdaptixC2 olarak bilinen açık kaynaklı komuta ve kontrol (C2) çerçevesi, bazıları Rus fidye yazılımı çeteleriyle bağlantılı olan, giderek artan sayıda tehdit aktörü tarafından kullanılıyor.
AdaptixC2, sızma testleri için tasarlanmış, yeni ortaya çıkan genişletilebilir bir kullanım sonrası ve çekişmeli emülasyon çerçevesidir. Sunucu bileşeni Golang’da yazılırken, GUI İstemcisi platformlar arası uyumluluk için C++ QT’de yazılmıştır.
Tamamen şifrelenmiş iletişim, komut yürütme, kimlik bilgisi ve ekran görüntüsü yöneticileri ve uzak terminal gibi çok çeşitli özelliklerle birlikte gelir. İlk yineleme, kendilerini bir penetrasyon test cihazı, kırmızı takım operatörü ve “MalDev” (kötü amaçlı yazılım geliştiricisinin kısaltması) olarak tanımlayan “RalfHacker” (@HackerRalf on X) adlı bir GitHub kullanıcısı tarafından Ağustos 2024’te halka açık olarak yayınlandı.
Son aylarda AdaptixC2, aralarında Fog ve Akira fidye yazılımı operasyonlarına bağlı tehdit aktörlerinin de bulunduğu çeşitli bilgisayar korsanlığı gruplarının yanı sıra çeşitli istismar sonrası araçlar sunmak üzere tasarlanan saldırılarda CountLoader’dan yararlanan bir ilk erişim aracısı tarafından da benimsendi.
Geçen ay çerçevenin teknik yönlerini inceleyen Palo Alto Networks Birim 42, onu “etkilenen makineleri kapsamlı bir şekilde kontrol etmek” için kullanılabilecek modüler ve çok yönlü bir çerçeve olarak nitelendirdi ve Microsoft Teams aracılığıyla ve yapay zeka (AI) tarafından oluşturulan bir PowerShell komut dosyası aracılığıyla sahte yardım masası destek çağrısı dolandırıcılığının bir parçası olarak kullanıma sunuldu.
AdaptixC2, kırmızı ekip faaliyetleri için etik, açık kaynaklı bir araç olarak sunulurken, siber suçluların da dikkatini çektiği açık.
Siber güvenlik şirketi Silent Push, RalfHacker’ın kendilerinin “MalDev” olduğuna dair GitHub biyografisinin bir soruşturmayı tetiklediğini ve RalfHackerChannel adlı bir Telegram kanalına ek olarak, AdaptixC2 için özel bir kanalda yayınlanan mesajları yeniden paylaştıklarını söyledi. RalfHackerChannel kanalının 28.000’den fazla abonesi var.
Ağustos 2024’te AdaptixFramework kanalındaki bir mesajda, “şu anda çok moda olan halka açık C2” ile ilgili bir proje başlatmakla ilgilendiklerini belirttiler ve bir başka popüler sömürü sonrası ve düşman emülasyon çerçevesi olan “İmparatorluk gibi olacağını” umdular.
RalfHacker’ın bu aşamada AdaptixC2 veya CountLoader’a bağlı kötü niyetli faaliyetlere doğrudan katılımı olup olmadığı bilinmemekle birlikte Silent Push, “Telegram’ın pazarlama amacıyla kullanılması ve aracın Rus tehdit aktörleri tarafından kullanımının artması yoluyla Rusya’nın yeraltı suç örgütüyle olan bağlarının hepsinin önemli kırmızı bayraklara yol açtığını” söyledi.
Hacker News, yorum almak için RalfHacker’a ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz.