موج جدیدی از تهدیدات سایبری در حال شکلگیری است، زیرا مجرمان سایبری به طور فزایندهای از AdaptixC2، یک فریمورک Command and Control (C2) رایگان و متنباز که در ابتدا برای تست نفوذ و عملیات Red Team طراحی شده بود، سوءاستفاده میکنند.
پژوهشگران امنیتی روند نگرانکنندهای را شناسایی کردهاند که در آن بازیگران تهدید پیشرفته (APT) از این ابزار post-exploitation برای اجرای حملات گسترده باجافزاری در سراسر جهان استفاده میکنند؛ ابزاری که قرار بود به محققان امنیتی خدمت کند، اکنون به سلاحی خطرناک در دست مجرمان تبدیل شده است.
این فریمورک که بخش سرور آن با زبان Golang و بخش کلاینت گرافیکی آن با ++C و QT نوشته شده، از سیستمعاملهای Linux، Windows و macOS پشتیبانی میکند. همین چندسکویی بودن و معماری منعطف باعث شده AdaptixC2 برای عملیات هماهنگ مجرمانه بسیار جذاب باشد.
.webp)
اولین نشانههای سوءاستفاده از AdaptixC2 در جریان بررسی بدافزار CountLoader مشاهده شد؛ لودری پیشرفته که از زیرساختهای تحت کنترل مهاجمان برای تحویل payloadهای آلوده AdaptixC2 استفاده میکرد.
.webp)
تحلیلگران شرکت Silent Push با شناسایی و ردیابی این حملات، امضاهای اختصاصی برای شناسایی AdaptixC2 و CountLoader ایجاد کردند. پس از اجرای این اقدامات حفاظتی، گزارشهای متعددی از افزایش استفاده از AdaptixC2 در میان گروههای باجافزار، بهویژه وابسته به عملیاتهایی مانند Akira منتشر شد.
این موج حملات از مارس ۲۰۲۳ تاکنون بیش از ۲۵۰ سازمان را هدف قرار داده و طبق گزارشها، ۴۲ میلیون دلار باج از قربانیان دریافت کرده است.
پژوهشگران Silent Push تأکید کردند که این سوءاستفادهها نشان میدهد مهاجمان ماهر در حال استفاده از ابزارهای توسعهیافتهی مشروع هستند تا فعالیتهای مخرب خود را در پوشش عملیات قانونی پنهان کنند. AdaptixC2 قابلیتهایی در سطح post-exploitation ارائه میدهد که به مهاجم اجازه میدهد دسترسی پایدار (persistent access) ایجاد کند، فرمانهای دلخواه را در سیستمهای آلوده اجرا کند و در شبکه قربانی حرکت جانبی (lateral movement) انجام دهد.
از نظر فنی، این فریمورک از چندین نوع listener شامل mTLS، HTTP، SMB و BTCP پشتیبانی میکند و همین تنوع ارتباطی باعث میشود شناسایی آن از طریق نظارت شبکه بسیار دشوار شود.
.webp)
ارتباط با زیرزمین سایبری روسیه و هویت توسعهدهنده
تحقیقات پیرامون منشأ AdaptixC2 ارتباطات قابل توجهی با زیرساختهای مجرمانه روسیه آشکار کرده است.
فردی با نام مستعار “RalfHacker” بهعنوان توسعهدهنده اصلی این فریمورک شناسایی شده است. او پروژه را از طریق کامیتهای فعال GitHub مدیریت میکند و یک کانال تلگرام روسزبان برای فروش و بهروزرسانیهای AdaptixC2 دارد.
تحقیقات OSINT آدرسهای ایمیلی مرتبط با RalfHacker را در پایگاه دادههای لو رفته از انجمنهای هکری مانند RaidForums شناسایی کرده است که نشان از ارتباط نزدیک او با جوامع سایبرجنایتکار سازمانیافته دارد.
در کانال تلگرام این توسعهدهنده، پیامها عمدتاً به زبان روسی منتشر میشوند و با هشتگهایی مربوط به Active Directory، تاکتیکهای APT و موضوعات مرتبط با ATM همراه هستند؛ نشانهای دیگر از ارتباط او با بازیگران روسی فعال در عملیات باجافزاری و حملات پیشرفته.
یک نظر