Suçluların, başlangıçta meşru sızma testleri ve kırmızı ekip operasyonları için tasarlanmış ücretsiz ve açık kaynaklı bir Komuta ve Kontrol çerçevesi olan AdaptixC2’yi giderek daha fazla silah haline getirmesiyle yeni bir siber tehdit dalgası ortaya çıkıyor.
Güvenlik araştırmacıları, gelişmiş tehdit aktörlerinin bu genişletilebilir istismar sonrası aracı küresel fidye yazılımı kampanyalarında kullanarak, etik hacklemeye yönelik bir yardımcı programı suç örgütleri için tehlikeli bir silaha dönüştürdüğü rahatsız edici bir eğilimi ortaya çıkardı.
Linux, Windows ve macOS’u destekleyen C++ ve QT tabanlı GUI istemcisine sahip sunucu bileşeni için Golang’da yazılan çerçeve, saldırganlara esneklik ve çoklu platform uyumluluğu sağlayarak onu özellikle koordineli işlemler için çekici kılıyor.
AdaptixC2’nin kötüye kullanıldığı ilk kez, saldırganların kontrol ettiği altyapıdan kötü amaçlı AdaptixC2 yüklerine hizmet eden gelişmiş bir kötü amaçlı yazılım yükleyicisi olan CountLoader üzerinde yapılan kapsamlı araştırma sırasında keşfedildi.
.webp)
Silent Push analistleri bu kötü amaçlı dağıtımları belirleyip takip etti ve ardından her iki tehdidi de tanımlamak için özel algılama imzaları oluşturdu.
Bu koruyucu önlemlerin uygulanmasının ardından, çok sayıda kamuya açık rapor, fidye yazılımı bağlı kuruluşları, özellikle de Akira gibi operasyonlarla bağlantılı olanlar arasında AdaptixC2 kullanımında bir artış olduğunu vurguladı.
Bu, Mart 2023’ten bu yana 250’den fazla kuruluşun güvenliğini tehlikeye attı ve iddiaya göre 42 milyon dolar fidye geliri talep edildi.
Silent Push araştırmacıları, AdaptixC2’nin kötüye kullanımının giderek artmasının, karmaşık tehdit aktörlerinin kötü niyetli niyetlerini maskelemek için meşru geliştirme araçlarından yararlandığını ortaya çıkardığını belirtti.
Çerçeve, saldırganların kalıcı komut kanalları oluşturmasına, güvenliği ihlal edilmiş sistemlerde keyfi komutlar yürütmesine ve hedef ağlar içinde yanal hareketi sürdürmesine olanak tanıyan istismar sonrası yetenekleri sağlar.
Teknik mimari, mTLS, HTTP, SMB ve BTCP protokolleri de dahil olmak üzere birden fazla dinleyici türünü destekleyerek operatörlere algılamayı ve ağ tabanlı izlemeyi zorlaştıran çeşitli iletişim kanalları sağlar.
Rus Yeraltı Bağlantıları ve Geliştirici Atıfları
Çerçevenin kökenlerine ilişkin soruşturma, Rus yeraltı suç dünyasıyla önemli bağlantıları ortaya çıkardı.
.webp)
“RalfHacker” adı altında çalışan bir kişi, AdaptixC2’nin arkasındaki ana geliştirici gibi görünüyor, projeyi aktif GitHub taahhütleri aracılığıyla yönetiyor ve çerçeve için Rusça bir Telegram satış kanalı sürdürüyor.
.webp)
OSINT araştırması, RalfHacker’ın hesaplarıyla ilişkili e-posta adreslerini ortaya çıkardı; bunlar arasında RaidForums gibi yerleşik bilgisayar korsanlığı forumlarına ait sızdırılmış veritabanlarındaki referanslar da yer alıyor ve organize siber suçlu topluluklarıyla güvenilir bağlar kuruluyor.
Geliştiricinin Telegram kanalı ağırlıklı olarak Rusça iletişim kuruyor, Active Directory, APT taktikleri ve ATM ile ilgili materyallere atıfta bulunan hashtag’lerle çerçeve güncellemelerinin reklamını yapıyor ve fidye yazılımı operasyonları için platformu aktif olarak kullanan Rus tehdit aktörü ağlarıyla bağlantıları daha da sağlamlaştırıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
