Поделиться
Angara MTDR: фреймворк AdaptixC2 выходит на охоту в России
В ходе расследования одного из компьютерных инцидентов исследователи Angara MTDR выявили инструмент AdaptixC2, который злоумышленники использовали для закрепления в системе. Этот фреймворк значительно отличался от другого типового и самописного вредоносного программного обеспечения, которое применялось злоумышленниками ранее. Образец обладал обширным набором команд, был хорошо спроектирован, а также имел широкие возможности для конфигурации. Об этом CNews сообщили представители Angara Security.
В результате исследования эксперты Angara MTDR определили, что хакеры использовали агент Beacon фреймворка для постэксплуатации AdaptixC2.
«Фреймворк для постэксплуатации AdaptixC2 часто сравнивают с такими известными инструментами, как Cobalt Strike и Brute Ratel. В отличие от них, AdaptixC2 полностью бесплатен и доступен на GitHub. Ранее о его применении в кибератаках на организации по всему миру сообщали известные компании, оказывающие услуги в области информационной безопасности. Поэтому появление AdaptixC2 в арсенале злоумышленников, атакующих российские организации, было лишь вопросом времени», – отметил Александр Гантимуров, руководитель направления обратной разработки отдела реагирования и цифровой криминалистики Angara MTDR.
«Подобные фреймворки существенно упрощают и автоматизируют рутинные и сложные операции после получения доступа к системе, такие как закрепление в инфраструктуре, сбор данных, повышение привилегий и горизонтальное перемещение по сети. Это делает атаку более управляемой и эффективной, – отметила Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara MTDR. – Ранее мы уже наблюдали как публично доступные инструменты, например, различные утилиты туннелирования, входят в привычный обиход злоумышленников. В данном случае мы имеем дело с целым фреймворком, который предоставляет мощные и гибкие возможности для управления зараженными системами после первичного взлома».
По мнению исследователей, фреймворк AdaptixC2 не станет исключением, и его будут все чаще встречать в арсенале злоумышленников.
В настоящее время злоумышленники не вносят значительных изменений в базовые настройки используемых инструментов и создаваемой ими вредоносной нагрузки. Поэтому фреймворк AdaptixC2 можно выявить на раннем этапе атаки с помощью стандартных антивирусных решений и несложных сетевых правил выявления.
Поделиться
Короткая ссылка
