Trong những tuần đầu tháng 5 năm 2025, các nhà nghiên cứu của Unit 42 đã ghi nhận nhiều trường hợp AdaptixC2 được triển khai để lây nhiễm vào các hệ thống doanh nghiệp. Không giống như nhiều nền tảng command-and-control (C2) nổi tiếng khác, AdaptixC2 hoạt động âm thầm, với rất ít tài liệu công khai chứng minh việc sử dụng nó trong các hoạt động của tác nhân độc hại. Nghiên cứu này phân tích chuyên sâu về các khả năng, kỹ thuật triển khai và cơ chế né tránh của AdaptixC2, nhằm trang bị kiến thức cần thiết cho các đội ngũ an ninh để bảo vệ hệ thống trước một mối đe dọa mạng đang phát triển và tinh vi.
Tổng Quan về AdaptixC2
AdaptixC2 là một framework hậu khai thác (post-exploitation) và mô phỏng tác nhân độc hại (adversarial emulation) mã nguồn mở mới được xác định. Ban đầu, nó được thiết kế và phát triển cho các chuyên gia thử nghiệm thâm nhập (penetration testers) và các hoạt động của red team. Tuy nhiên, việc các tác nhân độc hại sử dụng AdaptixC2 trong các cuộc tấn công thực tế đã làm nổi bật sự chuyển dịch trong chiến thuật của tin tặc.
Framework này mang tính mô-đun cao, cho phép tùy chỉnh linh hoạt và mở rộng khả năng. Sự xuất hiện của AdaptixC2 trong các chiến dịch tấn công trực tiếp cho thấy các tác nhân đang tận dụng và điều chỉnh các công cụ vốn dành cho mục đích hợp pháp để phục vụ các hoạt động bất hợp pháp. Điều này đặt ra thách thức mới trong công tác an ninh mạng.
Để tìm hiểu thêm về phân tích chuyên sâu của Palo Alto Networks về framework này, bạn có thể tham khảo bài viết về AdaptixC2.
Các Tính Năng Kỹ Thuật và Cơ Chế Hoạt Động của AdaptixC2
Giao diện của AdaptixC2 được thiết kế trực quan, hiển thị các agent và phiên được liên kết dưới dạng đồ họa, giúp quản lý và kiểm soát hoạt động trong môi trường mục tiêu một cách hiệu quả.
Kiến Trúc Agent và Khả Năng Thực Thi
Chức năng cốt lõi của AdaptixC2 bao gồm khả năng thực thi lệnh từ xa (remote command execution), truyền tệp giữa hệ thống bị xâm nhập và C2, trích xuất dữ liệu nhạy cảm (data exfiltration) và quản lý nhiều phiên kết nối đồng thời. Các agent được thiết kế để tương thích với cả kiến trúc x86 và x64.
Đặc biệt, các agent của AdaptixC2 có thể được tạo dưới nhiều định dạng khác nhau: các tệp thực thi độc lập, thư viện liên kết động (DLL), binary dịch vụ hệ thống hoặc shellcode thô. Sự linh hoạt này cho phép kẻ tấn công lựa chọn phương thức triển khai phù hợp nhất để né tránh các biện pháp phòng thủ.
Các tính năng cơ bản bao gồm thao tác đầy đủ với hệ thống tệp (liệt kê thư mục, tạo, sửa đổi, xóa tệp), liệt kê và kiểm soát các quy trình đang chạy, cùng với khả năng thực thi bất kỳ binary tùy ý nào trên hệ thống bị ảnh hưởng.
Cơ Chế Giao Tiếp và Né Tránh Phát Hiện
Để đảm bảo khả năng liên lạc bí mật và bền vững, AdaptixC2 hỗ trợ các cơ chế proxy SOCKS4/5 và chuyển tiếp cổng (port forwarding). Điều này cho phép kẻ tấn công thiết lập các kênh liên lạc ẩn danh và xuyên qua các lớp bảo mật mạng. Khả năng cấu hình kích thước khối dữ liệu cũng giúp hòa trộn lưu lượng trích xuất dữ liệu vào các luồng mạng hợp pháp, làm giảm khả năng bị phát hiện bởi các hệ thống giám sát.
Framework này còn cho phép mở rộng thông qua "Extender" – các mô-đun hoạt động như plugin, cho phép triển khai các payload tùy chỉnh và các chiến lược né tránh phát hiện phức tạp. Ngoài ra, tính năng Beacon Object Files (BOFs) cho phép các payload được viết bằng ngôn ngữ C chạy trực tiếp trong tiến trình của agent mà không cần tạo tiến trình mới, giảm dấu vết trên hệ thống.
Cấu hình của các beacon AdaptixC2 được mã hóa mạnh mẽ bằng thuật toán RC4. Cấu trúc mã hóa bao gồm một trường kích thước, một khối dữ liệu được mã hóa và một khóa giải mã 16 byte được nhúng bên trong binary, gây khó khăn cho việc phân tích tĩnh.
Các Hồ sơ Beacon linh hoạt
AdaptixC2 cung cấp ba hồ sơ beacon chính: HTTP, SMB và TCP. Sự đa dạng này mang lại sự linh hoạt đáng kể cho kẻ tấn công trong việc thích ứng với các hạn chế mạng khác nhau tại môi trường mục tiêu. Hồ sơ HTTP, được ghi nhận là phổ biến nhất trong các chiến dịch quan sát, cho phép cấu hình chi tiết các tham số liên lạc như máy chủ C2, cổng, cài đặt SSL, phương thức HTTP, URI, tiêu đề HTTP và chuỗi user-agent. Điều này cho phép beacon giả mạo lưu lượng truy cập web thông thường.
Các Chiến Dịch Tấn Công Mạng Thực Tế Sử dụng AdaptixC2
Các nhà nghiên cứu đã điều tra hai sự cố lây nhiễm AdaptixC2 riêng biệt, mỗi sự cố minh họa một cách tiếp cận khác nhau của kẻ tấn công để xâm nhập và duy trì sự hiện diện trong hệ thống.
Sự Cố 1: Lừa Đảo Xã Hội qua Microsoft Teams và Loader PowerShell
Sự cố đầu tiên bắt đầu bằng kỹ thuật lừa đảo xã hội (social engineering) tinh vi. Nạn nhân nhận được các tin nhắn giả mạo từ bộ phận hỗ trợ IT qua Microsoft Teams. Những tin nhắn này lừa nạn nhân tham gia vào các phiên hỗ trợ từ xa qua Quick Assist. Sau khi kết nối, một trình tải PowerShell đa giai đoạn được kích hoạt.
Trình tải này đã tải xuống một payload shellcode được mã hóa XOR từ một dịch vụ lưu trữ hợp pháp. Để tránh bị phát hiện, payload được giải mã hoàn toàn trong bộ nhớ và khởi chạy bằng cách sử dụng gọi động của .NET, hoàn toàn không ghi bất kỳ thành phần độc hại nào vào ổ đĩa. Tính bền vững (persistence) được thiết lập một cách đơn giản bằng cách thả một shortcut khởi động.
Ngay sau khi lây nhiễm, kẻ tấn công đã thực hiện các lệnh trinh sát cơ bản như nltest.exe, whoami.exe và ipconfig.exe để thu thập thông tin về mạng và hệ thống trước khi thiết lập kết nối C2 hoàn chỉnh.
Sự Cố 2: Mã Tải AI-Generated và Cơ Chế Bền Vững Kép
Sự cố thứ hai liên quan đến việc triển khai một script PowerShell mà các phân tích cho thấy có dấu hiệu được tạo ra bởi AI. Script này có nhiệm vụ tải xuống một beacon AdaptixC2 đã được mã hóa Base64. Để thực thi, nó cấp phát bộ nhớ không quản lý (unmanaged memory), sau đó sao chép và thực thi shellcode bằng cách sử dụng hàm VirtualProtect của Windows API, một kỹ thuật thường thấy trong các cuộc tấn công không tập tin.
Điểm đáng chú ý là sự cố này sử dụng cơ chế bền vững kép: chiếm quyền DLL (DLL hijacking) trong thư mục Templates và một mục nhập registry trong khóa Run. Sự kết hợp này tăng cường khả năng duy trì sự hiện diện của kẻ tấn công trên hệ thống. Các đặc điểm về phong cách trong mã nguồn – như các bình luận được đánh số chi tiết và thông báo đầu ra dấu kiểm – cùng với các cờ nhận diện AI, đã cung cấp bằng chứng cho thấy việc sử dụng các công cụ tạo sinh (generative tools). Trường hợp này là một ví dụ rõ nét về cách thức hỗ trợ của AI đang thúc đẩy sự phát triển nhanh chóng của các trình tải không tập tin (fileless loaders) tinh vi và khó bị phát hiện hơn.
Khuyến Nghị Phòng Ngừa và Phát Hiện Xâm Nhập AdaptixC2
Sự xuất hiện của AdaptixC2 trong các cuộc tấn công thực tế báo hiệu một xu hướng đáng lo ngại: các tác nhân độc hại đang ngày càng tùy chỉnh các framework red-team mạnh mẽ cho các hoạt động bất hợp pháp. Để nâng cao an ninh mạng và bảo vệ hệ thống hiệu quả trước mối đe dọa này, các tổ chức nên triển khai các biện pháp sau:
- Theo dõi chặt chẽ các hành vi thực thi chỉ trên bộ nhớ bất thường, đặc biệt là những hành vi chỉ ra việc gọi động (dynamic invocation) các mã độc hại.
- Tiến hành trích xuất và phân tích chuyên sâu các cấu hình được mã hóa RC4 từ các binary đáng ngờ để khám phá và lập bản đồ cơ sở hạ tầng C2 của kẻ tấn công.
- Tận dụng triệt để các giải pháp bảo vệ điểm cuối (endpoint protection) tiên tiến để phát hiện và ngăn chặn các đường hầm proxy SOCKS4/5 và chuyển tiếp cổng (port-forwarding tunnels), vốn được AdaptixC2 sử dụng cho giao tiếp bí mật.
