[Op-Bericht] Von SSA Phish zu AdaptixC2: Eine Multi-RAT-Eindringung
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein Bedrohungsakteur führte einen mehrschichtigen Commodity-Angriff durch, der mit einer Phishing-E-Mail begann, die auf die US-amerikanische Sozialversicherungsbehörde ausgerichtet war. Die Operation stützte sich auf AdaptixC2 als Haupt-Command-and-Control-Framework, verwendete XWorm als sekundären Zugangskanal und für Telegram-basierte Exfiltration und setzte ScreenConnect ein, um direkte Tastatureingaben zu unterstützen. Die Kampagne zeigte auch eine starke operationale Disziplin durch den Einsatz von RTLO-Dateinamen-Täuschung und mehreren Persistenzwegen, die darauf ausgelegt waren, eine teilweise Behebung zu überstehen.
Untersuchung
Die Untersuchung fand in einer Deception.Pro-Umgebung unter Verwendung einer Täuschungsarbeitsstation statt. Da die TLS-Inspektion aktiviert war, konnten die Forscher Klartext-Beacon-Verkehr, Payload-Download-URLs und ScreenConnect-Relay-Handshakes wiederherstellen. Diese Sichtbarkeit ermöglichte es, den Eindringling bestimmten Frameworks mit hoher Zuverlässigkeit zuzuordnen, anstatt sich nur auf Verhaltens- oder Fingerabdruckannahmen zu verlassen.
Minderung
Organisationen sollten das Risiko verringern, indem sie die TLS-Inspektion für verschlüsselten Command-and-Control-Verkehr aktivieren und ein EDR implementieren, das in der Lage ist, certutil-basiertes Staging und verdächtige PowerShell-Ausführungen zu erkennen. Die Sichtbarkeit der Dateierweiterung sollte durchgesetzt werden, um RTLO-basierte Dateinamen-Tricks zu schwächen. Zudem sollten Registry-Run-Key-Schreibvorgänge an öffentlichen oder benutzerbeschreibbaren Orten genau überwacht werden. Teams sollten auch unautorisierte Fernverwaltungstools wie ScreenConnect inventarisieren und alarmieren, insbesondere wenn sie über msiexec.
Antwort
Wird diese Aktivität erkannt, sollten betroffene Endpunkte sofort isoliert werden, um den Command-and-Control-Verkehr zu unterbrechen und weitere laterale Bewegungen durch SAMR- oder LSAD-Auflistungen zu verhindern. Führen Sie einen vollständigen forensischen Sweep nach XWorm-DLLs und AdaptixC2-Artefakten in öffentlichen Ordnern und anderen üblichen Staging-Pfaden durch. Ermittler sollten auch Telegram-bezogene Exfiltrationsmuster überprüfen und Registry-Persistenzschlüssel prüfen, die legitime Updater-Namen nachahmen.
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Anzeigen
Verwendung von Certutil für die Datenkodierung und Zertifikatoperationen (über cmdline)
Anzeigen
Verdächtige Ausführung aus öffentlichem Benutzerprofil (über process_creation)
Anzeigen
Alternativzugriff / Verwaltungssoftware (über process_creation)
Anzeigen
Ein Archiv wurde an ein verdächtiges Verzeichnis mit PowerShell extrahiert (über powershell)
Anzeigen
Verdächtige Dateien in öffentlichem Benutzerprofil (über file_event)
Anzeigen
Mögliche IP-Lookup-Domänenkommunikationsversuche (über dns)
Anzeigen
Möglicher Kontakt mit Dynamic DNS Service (über dns)
Anzeigen
IOCs (HashSha256) zur Erkennung: [Op Report] Von SSA Phish zu AdaptixC2: Ein Multi-RAT-Einbruch
Anzeigen
IOCs (HashMd5) zur Erkennung: [Op Report] Von SSA Phish zu AdaptixC2: Ein Multi-RAT-Einbruch
Anzeigen
IOCs (SourceIP) zur Erkennung: [Op Report] Von SSA Phish zu AdaptixC2: Ein Multi-RAT-Einbruch
Anzeigen
IOCs (DestinationIP) zur Erkennung: [Op Report] Von SSA Phish zu AdaptixC2: Ein Multi-RAT-Einbruch
Anzeigen
Erkennung der AdaptixC2 Command-and-Control-Kommunikation [Windows-Netzwerkverbindung]
Anzeigen
Erkennung der AdaptixC2- und ScreenConnect-Bereitstellung über Certutil und Msiexec [Windows-Prozesserstellung]
Anzeigen
Simulation Ausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorprüfungen müssen bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifer-Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle: Der Angreifer hat erfolgreich einen Zugangspunkt auf der Zielmaschine über einen Spearphishing-Link etabliert. Um die Kontrolle zu behalten und Anweisungen zu erhalten, versucht der AdaptixC2-Agent, sich bei seinem Command-and-Control-Server zu „melden“. Der Agent ist programmiert, eine festcodierte URI (
98.81.111.167/updates/check.php) oder eine Ersatz-IP (23.20.229.225) über Port 443 anzusteuern. Durch die Simulation dieser genau definierten Verbindungsversuche validieren wir, ob die Firewall-Netzwerkerkennungsregel diese bekannten bösartigen Muster korrekt identifiziert. -
Regressionstest-Skript: Dieses Skript verwendet PowerShell, um zwei unterschiedliche Verbindungsversuche zu simulieren: einen, der auf die spezifische URL und einen, der auf die spezifische IP-Adresse abzielt.
# Simulation der AdaptixC2-Kommunikation Write-Host "[+] Start der AdaptixC2-Simulation..." -ForegroundColor Cyan # Szenario 1: Verbindung zum spezifischen bösartigen URL-Muster Write-Host "[+] Verbindung zu bösartiger URL: 98.81.111.167/updates/check.php wird versucht" -ForegroundColor Yellow try { # Wir verwenden -ErrorAction SilentlyContinue, da die IP wahrscheinlich nicht aufgelöst oder geantwortet wird, # aber der Verbindungsversuch selbst wird die Telemetrie generieren. Invoke-WebRequest -Uri "http://98.81.111.167/updates/check.php" -Method Get -ErrorAction SilentlyContinue } catch { Write-Host "[!] Verbindung fehlgeschlagen (erwartet), aber Telemetrie sollte generiert worden sein." -ForegroundColor Gray } # Szenario 2: Verbindung zu der spezifischen bösartigen IP auf Port 443 Write-Host "[+] Verbindung zur bösartigen IP: 23.20.229.225 auf Port 443 wird versucht" -ForegroundColor Yellow try { $tcpClient = New-Object System.Net.Sockets.TcpClient $connection = $tcpClient.BeginConnect("23.20.229.225", 443, $null, $null) $success = $connection.AsyncWaitHandle.WaitOne(5000, $false) if ($success) { Write-Host "[+] Verbindung erfolgreich (unwahrscheinlich im realen Test)." -ForegroundColor Green } else { Write-Host "[!] Verbindung ausgelaufen (erwartet), aber Telemetrie sollte generiert worden sein." -ForegroundColor Gray } $tcpClient.Close() } catch { Write-Host "[!] Fehler beim TCP-Verbindungsversuch." -ForegroundColor Red } Write-Host "[+] Simulation abgeschlossen." -ForegroundColor Cyan -
Säuberungsbefehle:
# Keine permanenten Artefakte werden durch diese Simulation erstellt, da sie nur Netzwerkverkehr generiert. Write-Host "[+] Keine Bereinigung erforderlich. Netzwerkverbindungen waren vorübergehend." -ForegroundColor Green