Эксперты Angara MTDR обнаружили, что фреймворк AdaptixC2, ранее применявшийся в кибератаках на организации в других странах, начал использоваться для атак на российские компании.
В ходе расследования одного из компьютерных инцидентов исследователи Angara MTDR выявили инструмент AdaptixC2, который злоумышленники использовали для закрепления в системе. Этот фреймворк значительно отличался от другого типового и самописного вредоносного программного обеспечения, которое применялось злоумышленниками ранее. Образец обладал обширным набором команд, был хорошо спроектирован, а также имел широкие возможности для конфигурации.
В результате исследования эксперты Angara MTDR определили, что хакеры использовали агент Beacon фреймворка для постэксплуатации AdaptixC2.
«Фреймворк для постэксплуатации AdaptixC2 часто сравнивают с такими известными инструментами, как Cobalt Strike и Brute Ratel. В отличие от них, AdaptixC2 полностью бесплатен и доступен на GitHub. Ранее о его применении в кибератаках на организации по всему миру сообщали известные компании, оказывающие услуги в области информационной безопасности. Поэтому появление AdaptixC2 в арсенале злоумышленников, атакующих российские организации, было лишь вопросом времени», - отметил Александр Гантимуров, руководитель направления обратной разработки отдела реагирования и цифровой криминалистики Angara MTDR.
«Подобные фреймворки существенно упрощают и автоматизируют рутинные и сложные операции после получения доступа к системе, такие как закрепление в инфраструктуре, сбор данных, повышение привилегий и горизонтальное перемещение по сети. Это делает атаку более управляемой и эффективной, ‑ отметила Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara MTDR. - Ранее мы уже наблюдали как публично доступные инструменты, например, различные утилиты туннелирования, входят в привычный обиход злоумышленников. В данном случае мы имеем дело с целым фреймворком, который предоставляет мощные и гибкие возможности для управления зараженными системами после первичного взлома».
По мнению исследователей, фреймворк AdaptixC2 не станет исключением, и его будут все чаще встречать в арсенале злоумышленников.
В настоящее время злоумышленники не вносят значительных изменений в базовые настройки используемых инструментов и создаваемой ими вредоносной нагрузки. Поэтому фреймворк AdaptixC2 можно выявить на раннем этапе атаки с помощью стандартных антивирусных решений и несложных сетевых правил выявления.
Angara MTDR — это сервисы для управления киберустойчивостью, в которых процессы и их эффективность определяют средства и меры защиты, а не наоборот. Предоставляет комплекс услуг для защиты организаций от актуальных угроз на всех этапах атак (от первичной разведки и подготовки атаки до нанесения ущерба) внутри периметра и за его пределами, в т.ч. расследования, устранение последствий и восстановление ИТ-инфраструктуры, если инцидент уже произошел. Является корпоративным центом ГосСОПКА класса «А» и участником информационного обмена с ФинЦЕРТ.
Angara Security — ведущий российский ИБ-интегратор и провайдер услуг по информационной безопасности. Компания специализируется на защите данных и бизнес-систем, предотвращает и расследует кибератаки.
31.10.2025
