Framework command-and-control (C2) mã nguồn mở AdaptixC2 đang được sử dụng bởi ngày càng nhiều các threat actor, một số trong đó có liên quan đến các nhóm ransomware của Nga.
AdaptixC2 là một framework post-exploitation và adversarial emulation mở rộng mới nổi, được thiết kế để kiểm thử xâm nhập (penetration testing). Trong khi thành phần máy chủ được viết bằng Golang, GUI Client được viết bằng C++ QT để tương thích đa nền tảng.
Nó đi kèm với nhiều tính năng, bao gồm giao tiếp được mã hóa hoàn toàn, thực thi lệnh, quản lý thông tin xác thực (credential) và ảnh chụp màn hình, cùng với một remote terminal. Một phiên bản đầu tiên đã được công bố công khai bởi người dùng GitHub có tên "RalfHacker" (@HackerRalf trên X) vào tháng 8 năm 2024, người tự mô tả mình là một penetration tester, red team operator và "MalDev" (viết tắt của nhà phát triển malware).
Trong những tháng gần đây, AdaptixC2 đã được nhiều nhóm hacker áp dụng, bao gồm các threat actor có liên quan đến các chiến dịch ransomware Fog và Akira, cũng như bởi một initial access broker đã tận dụng CountLoader trong các cuộc tấn công được thiết kế để phân phối các công cụ post-exploitation khác nhau.
Palo Alto Networks Unit 42, đơn vị đã phân tích các khía cạnh kỹ thuật của framework này vào tháng trước, mô tả nó là một framework mô-đun và linh hoạt có thể được sử dụng để "kiểm soát toàn diện các máy bị ảnh hưởng", và nó đã được sử dụng trong các vụ lừa đảo hỗ trợ kỹ thuật giả mạo qua Microsoft Teams và thông qua một script PowerShell được tạo bởi trí tuệ nhân tạo (AI).
Mặc dù AdaptixC2 được cung cấp như một công cụ mã nguồn mở, có đạo đức cho các hoạt động red teaming, nhưng rõ ràng nó cũng đã thu hút sự chú ý của tội phạm mạng.
Công ty an ninh mạng Silent Push cho biết mô tả trên GitHub của RalfHacker về việc họ là một "MalDev" đã kích hoạt một cuộc điều tra, cho phép họ tìm thấy một số địa chỉ email cho các tài khoản GitHub liên quan đến chủ sở hữu tài khoản, ngoài ra còn có một kênh Telegram gọi là RalfHackerChannel, nơi họ chia sẻ lại các tin nhắn được đăng trên một kênh chuyên dụng dành cho AdaptixC2. Kênh RalfHackerChannel có hơn 28.000 người đăng ký.
Trong một tin nhắn trên kênh AdaptixFramework vào tháng 8 năm 2024, họ đã đề cập đến sự quan tâm của mình trong việc bắt đầu một dự án về một "C2 công cộng, vốn đang rất thịnh hành hiện nay" và hy vọng "nó sẽ giống như Empire", một framework post-exploitation và adversary emulation phổ biến khác.
Mặc dù hiện tại vẫn chưa rõ liệu RalfHacker có liên quan trực tiếp đến hoạt động độc hại nào liên quan đến AdaptixC2 hoặc CountLoader hay không, Silent Push cho biết "mối liên hệ của họ với thế giới ngầm tội phạm của Nga, thông qua việc sử dụng Telegram để tiếp thị và sự gia tăng sử dụng công cụ này sau đó bởi các threat actor Nga, tất cả đều gióng lên hồi chuông cảnh báo đáng kể."
The Hacker News đã liên hệ với RalfHacker để xin bình luận, và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi.
