Threat Actors Leveraging Open-Source AdaptixC2 in Real-World Attacks
2025/09/11 CyberSecurityNews — オープンソースの AdaptixC2 が、現実の世界の攻撃で、脅威アクターたちに悪用されている。2025年5月初旬に Palo Alto Networks Unit 42 のセキュリティ・チームが観測したのは、ポスト・エクスプロイトにおける、このフレームワークの悪用の急増である。本来の AdaptixC2 は、ペンテスト支援を目的とするフレームワークであり、ファイル・システム操作/プロセス列挙/秘密チャネルのトンネリングなど機能を提供しているが、いまでは攻撃者たちにより悪用されている。
このフレームワークは、モジュール設計と “extenders” による拡張性を備えており、従来からの防御に対する回避を容易にする、カスタマイズが可能なツールキットを求める攻撃者にとって魅力的な存在となっている。
Palo Alto の研究者たちが指摘するのは、脅威インテリジェンス・フィードが複数セクターの感染を報告し始めるまで、大半の AdaptixC2 の活動が検知されていなかったことだ。
初期の攻撃キャンペーンの一例では、偽のヘルプデスクによるリモートサポート要求を用いたソーシャル・エンジニアリングにより、騙したユーザーに Quick Assist セッションを実行させ、多段階の PowerShell ローダーを展開していた。
そして攻撃者は、わずか数分の間に、ファイルを残さずにメモリ内でビーコンを実行し、エンドポイント検出を回避して標的ホストに永続的な制御を確立した。このインシデントの増加に伴い、AdaptixC2 を展開するための複数の侵入クラスターが確認されたが、その中には、AI が生成するスクリプトも含まれるという。
Palo Alto Networks のアナリストたちが特定したのは、LLM 生成コードの特徴であるスタイル・マーカー (番号付きコメントや詳細な出力確認) である。
これらスクリプトは、Base64 エンコードされたペイロードをダウンロードして復号するだけではなく、.NET の GetDelegateForFunctionPointer を用いることで、シェルコードをメモリ内でダイレクトに実行していた。この攻撃者は、VirtualProtect や CreateProcess といった Windows 組み込み API を活用し、高度なステルス性と永続性を実現している。
いずれの攻撃シナリオにおいても、甚大な影響が生じている。侵害された環境では、データ窃取は小さなチャンク単位で行われ、通常のトラフィックに紛れ込んで外部へと流出し、SOCKS4/5 トンネリングとポート・フォワーディングによりラテラル・ムーブメント (横方向移動) が促進されていた。
そして記録されたインシデントで明らかにされたのは、アジアの金融機関に対する侵害で AdaptixC2 と Fog ランサムウェアを組み合わせた攻撃者が、このフレームワークの汎用性と下流ペイロードの増幅能力を高めたことだ。さらに言えば、従来型の検知システムに依存する組織は、このモジュール化された進化する脅威に対して、備えが不十分であることだ。
.webp)
これらのグラフィカルな表示が明示するのは、標的とされた対象のエージェントとセッションのマッピングであり、また、多段階の作戦を計画する手法である。
.webp){kind=tracking}
それに加えて、暗号化されたコンフィグ・パラメータ (PE ヘッダー内に鍵と共に保存された RC4 暗号化ペイロード) により、通信プロファイルの迅速なカスタマイズが可能になっている。
ファイルレス PowerShell ローダーによる感染メカニズム
AdaptixC2 の展開における最も巧妙な要素の一つは、ディスク・ベース防御を回避して、メモリ内で完全に実行されるファイル・レス感染メカニズムである。
初期ベクターは、ソーシャル・エンジニアリング・メールやリモートサポート・プロンプト経由で配布される、無害に見える PowerShell スクリプトである。このスクリプトは、Base64 エンコードされたシェルコードを、Invoke-RestMethod を介して正規のクラウド・ストレージから取得した後にデコードし、PAGE_EXECUTE_READWRITE 権限を持つメモリを VirtualAlloc で割り当てる。
.webp)
このローダーは、リフレクションと動的な呼び出しにより、シェルコードのエントリ・ポイントを指すデリゲートを構築して実行する。
var ptr = GetDelegateForFunctionPointer(shellcodePtr, typeof(Action));
((Action)ptr)();
この手法では、実行ファイルが生成されないため、フォレンジック・アーティファクトも最小化される。そして侵害に成功したスクリプトは、再起動後のビーコン接続を確保するが、そこで用いられるのは、スタートアップ・フォルダでのショートカットの作成、もしくは、”Updater” などの名称によりレジストリでの Run キーの書き込みである。
KillDate/WorkingTime といったコンフィグが可能なパラメータにより、ビーコンの活動の時間帯は制限され、それに加えて、カスタマイズ可能なユーザー・エージェント文字列や HTTP ヘッダーにより検出の回避が強化される。
セキュリティ・チームにとって必要なことは、メモリ・ベースの検出とネットワーク挙動の分析によりテレメトリを強化し、C2 チャネル確立前に実行中のペイロードを傍受することである。さらに、動的な呼び出し API や異常な PowerShell 子プロセスに対する継続的な監視が、このファイル・レス感染チェーンを阻止する上で不可欠である。
セキュリティ検証用に作られた AdaptixC2 が、攻撃者に悪用されているようです。このフレームワークは、モジュール設計と高い拡張性を持っており、それらが悪用されることで、検出の回避が容易になってしまいます。このような、検知をすり抜ける柔軟性があるため、正規の利用と悪用の境界が曖昧になっています。さらに、AI が生成したスクリプトまでも組み込まれており、ファイルレスで動作する仕組みも、攻撃者にとっては魅力的となっていると、この記事は指摘しています。よろしければ、カテゴリ SecTools も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.