Vào đầu tháng 5 năm 2025, các nhà nghiên cứu của Unit 42 đã ghi nhận việc **AdaptixC2**, một **khung post-exploitation** mới nổi, được sử dụng để lây nhiễm vào nhiều hệ thống. Mặc dù nhiều framework C2 khác nhận được sự chú ý rộng rãi, **AdaptixC2** vẫn nằm ngoài tầm kiểm soát cho đến khi Unit 42 ghi nhận việc triển khai nó bởi các tác nhân đe dọa thực tế.

Bài viết này phân tích sâu về các khả năng của **AdaptixC2**, các kịch bản lây nhiễm gần đây, và cung cấp hướng dẫn cho các chuyên gia bảo mật nhằm dự đoán và ngăn chặn hoạt động của nó.

Tổng Quan Về AdaptixC2 và Khả Năng Vận Hành

AdaptixC2 là một framework mã nguồn mở được thiết kế ban đầu cho các kiểm thử viên thâm nhập (penetration testers) và mô phỏng đối thủ. Nó cung cấp một bộ công cụ rộng lớn cho các hành động hậu khai thác (post-exploitation), cho phép kiểm soát toàn diện các điểm cuối bị xâm nhập.

Kiểm Soát Hệ Thống và Quản Lý Tiến Trình

Các tác nhân tấn công có thể thao tác hệ thống tệp để tạo, sửa đổi, xóa hoặc liệt kê các tệp và thư mục. Ngoài ra, **AdaptixC2** cho phép liệt kê và chấm dứt các tiến trình, cũng như khởi chạy các chương trình mới.

Đây là những khả năng cơ bản nhưng cực kỳ mạnh mẽ, cung cấp quyền kiểm soát sâu rộng trên hệ thống mục tiêu.

Kiến Trúc Mở Rộng và Beacon Object Files (BOF)

Tính năng “extenders” của **AdaptixC2** hoạt động như các plugin cho listener và agent. Điều này cho phép kẻ tấn công tạo ra các payload và giao thức giao tiếp tùy chỉnh, phù hợp với từng mục tiêu cụ thể.

Framework cũng hỗ trợ Beacon Object Files (BOFs), đây là các chương trình nhỏ dựa trên C chạy trực tiếp trong tiến trình của agent, giúp né tránh hiệu quả sự giám sát an ninh.

Giao Thức Giao Tiếp Đa Dạng và Khả Năng Tối Ưu

Các tùy chọn giao tiếp bao gồm HTTP-based beacons, named-pipe (SMB) listeners, và kết nối TCP trực tiếp. Mỗi tùy chọn đều có thể cấu hình với máy chủ, cổng, cài đặt SSL, URI, tiêu đề và chuỗi user-agent tùy chỉnh.

Các tính năng tunneling nâng cao như SOCKS4/5 proxying và port forwarding giúp bỏ qua các hạn chế mạng. Các agent beacon hỗ trợ cả kiến trúc **x86** và **x64**, và có thể được biên dịch thành các tệp thực thi độc lập, DLL, binary dịch vụ hoặc shellcode thô.

Các lệnh truyền dữ liệu được tối ưu hóa cho việc trích xuất dữ liệu bằng cách phân đoạn tệp thành các kích thước khối có thể cấu hình. Điều này giúp giảm thiểu rủi ro bị phát hiện trong quá trình di chuyển dữ liệu ra ngoài.

Kiểm Soát An Ninh Vận Hành (OpSec) của AdaptixC2

**AdaptixC2** triển khai các kiểm soát an ninh vận hành thông qua các tham số như **KillDate** (tự động vô hiệu hóa beacon sau một ngày cụ thể) và **WorkingTime** (hạn chế hoạt động beaconing trong các giờ cụ thể). Framework cũng cho phép tùy chỉnh các thói quen che giấu (obfuscation) và chống phân tích (anti-analysis).

Định dạng cấu hình của nó là một khối dữ liệu được mã hóa RC4, lưu trữ trong các tệp PE. Điều này có thể được các chuyên gia bảo mật giải mã để trích xuất danh sách máy chủ, tham số HTTP, cài đặt thời gian và nhiều thông tin khác. Quá trình này giúp phân tích nhanh chóng các mẫu độc hại và nâng cao khả năng **phát hiện xâm nhập**.

Các Kịch Bản Tấn Công Mạng Thực Tế Sử Dụng AdaptixC2

Unit 42 đã ghi nhận hai chiến dịch **AdaptixC2** riêng biệt vào tháng 5 năm 2025, cho thấy cách thức kẻ tấn công khai thác và duy trì quyền truy cập.

Chiến Dịch 1: Tấn Công Xã Hội Qua Microsoft Teams

Trong chiến dịch đầu tiên, các tác nhân đe dọa đã sử dụng kỹ thuật xã hội và lừa đảo để mạo danh bộ phận hỗ trợ HelpDesk qua Microsoft Teams. Nạn nhân bị thuyết phục khởi tạo các phiên hỗ trợ từ xa Quick Assist.

• Điều này cho phép một trình tải PowerShell (PowerShell loader) tìm nạp một payload được mã hóa **XOR**.
• Payload này sau đó được giải mã và tiêm shellcode vào bộ nhớ.
• Tiếp theo, một beacon HTTP được triển khai với một điểm cuối hợp lệ được bảo vệ bởi SSL.

Tính bền vững (persistence) được thiết lập bằng cách tạo một shortcut trong thư mục khởi động để khởi chạy lại trình tải sau khi khởi động lại hệ thống.

Chiến Dịch 2: Sử Dụng Mã Hóa Hỗ Trợ Bởi AI

Sự cố thứ hai cho thấy mã được tạo bởi AI tinh vi. Kẻ tấn công đã sử dụng các công cụ AI để tạo ra một trình cài đặt PowerShell nhiều giai đoạn:

• Tải xuống shellcode được mã hóa **Base64** qua lệnh Invoke-RestMethod.
• Cấp phát bộ nhớ và điều chỉnh các quyền bảo vệ thông qua VirtualProtect.
• Thực thi shellcode thông qua .NET's GetDelegateForFunctionPointer.

Tính bền vững kết hợp kỹ thuật chiếm quyền điều khiển DLL (DLL hijacking) trong thư mục Templates với một khóa Run trong Registry. Các đặc điểm về phong cách—những bình luận được đánh số dài dòng và thông báo đầu ra dấu kiểm—cho thấy sự hỗ trợ của AI trong việc tạo ra các trình tải động, ẩn danh.

Điểm Chung của Các Kịch Bản Tấn Công AdaptixC2

Cả hai kịch bản đều chia sẻ những đặc điểm của kỹ thuật hậu khai thác hiện đại:

• Thực thi không tệp (fileless execution).
• Gọi động shellcode (dynamic invocation of shellcode).
• Lạm dụng các dịch vụ hợp pháp.
• Beaconing theo module.
• Các cơ chế duy trì quyền truy cập (persistence) mạnh mẽ.

Kỹ thuật chiếm quyền DLL và duy trì quyền truy cập dựa trên Registry trong trường hợp thứ hai nhấn mạnh sự phát triển của **AdaptixC2** như một mối đe dọa.

Chiến Lược Phát Hiện và Phòng Ngừa AdaptixC2

Các nhóm bảo mật cần xem xét **AdaptixC2** là một mối nguy hiểm đang gia tăng. Việc giám sát các dấu hiệu cụ thể có thể giúp **phát hiện xâm nhập** sớm.

Phát Hiện Dựa Trên Ký Tự và Hành Vi

Giám sát các hành vi sau đây có thể là tín hiệu của việc triển khai beacon **AdaptixC2**:

• Các thói quen giải mã RC4 trong bộ nhớ.
• Các lệnh gọi gọi động bất thường.
• Logic trích xuất khóa RC4 trong các tiến trình .NET.

Săn lùng các script PowerShell sử dụng cấp phát bộ nhớ động, VirtualProtect, và GetDelegateForFunctionPointer cung cấp cảnh báo sớm về các hoạt động độc hại.

Giám Sát Mạng và Lưu Lượng

Các hệ thống phòng thủ mạng nên kiểm tra các yêu cầu HTTP POST tới các URI không điển hình với các tiêu đề hoặc user-agent tùy chỉnh. Đồng thời, việc giám sát các mẫu lưu lượng SMB qua named-pipe cũng rất quan trọng.

Palo Alto Networks cung cấp các lớp bảo vệ đa tầng. Cụ thể, Advanced DNS Security và Advanced URL Filtering chặn các domain và URL độc hại đã biết. Advanced Threat Prevention và WildFire phát hiện các hành vi khai thác và các mẫu mới. Cortex XDR và XSIAM kết hợp các công cụ phòng ngừa điểm cuối và phân tích dữ liệu đo từ xa để xác định các hoạt động tiêm vào bộ nhớ và beaconing bất thường.

Tăng Cường An Ninh Mạng và Phản Ứng Sự Cố

Cập nhật thường xuyên các chữ ký phát hiện với các chỉ số **AdaptixC2** mới nổi—như domain máy chủ, URI duy nhất, và chuỗi user-agent tùy chỉnh—sẽ củng cố khả năng phòng thủ.

Tính chất mã nguồn mở của **AdaptixC2** cho phép cả red team và các tác nhân đe dọa tùy chỉnh nhanh chóng. Do đó, việc chia sẻ các cấu hình và chỉ số đã trích xuất trong cộng đồng là rất quan trọng.

Các tổ chức nên định kỳ xem xét và củng cố các chính sách hỗ trợ từ xa, thực thi kiểm soát truy cập từ xa với quyền hạn thấp nhất. Đồng thời, duy trì nhật ký PowerShell mạnh mẽ để phá vỡ các framework hậu khai thác ẩn danh như **AdaptixC2**.

Nếu nghi ngờ một sự xâm nhập, hãy liên hệ với đội ngũ Phản ứng Sự cố (Incident Response) để được hỗ trợ kịp thời. Luôn cảnh giác với các công cụ C2 linh hoạt và hợp tác thông qua Cyber Threat Alliance để triển khai các biện pháp bảo vệ kịp thời. Bạn có thể tham khảo thêm chi tiết kỹ thuật từ báo cáo của Unit 42: AdaptixC2 Post-Exploitation Framework.