SOC Prime Bias: Високий

15 Jun 2026 05:49 UTC

[Операційний Звіт] Від Фішингу SSA до AdaptixC2: Багато-Загрожуюче Проникнення

Author Photo
SOC Prime Team linkedin icon Стежити
[Операційний Звіт] Від Фішингу SSA до AdaptixC2: Багато-Загрожуюче Проникнення
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисник здійснив багатошарове комерційне проникнення, почавши з фішингового електронного листа на тему адміністрації соціального забезпечення США. Операція базувалася на AdaptixC2 як основній командно-контрольній платформі, використовувала XWorm як другий канал доступу та для ексфільтрації через Telegram, а також розгорнула ScreenConnect для підтримки активності з клавіатури. Кампанія також виявила високий рівень дисципліни за рахунок використання обману імен файлів RTLO і кількох шляхів стійкості, розроблених для виживання після часткового усунення.

Розслідування

Розслідування відбулося в середовищі Deception.Pro з використанням робочої станції обману. Оскільки інспекція TLS була включена, дослідники змогли відновити текстовий трафік маяків, URL завантаження корисного навантаження та сигнатури з’єднань ScreenConnect. Така видимість дозволила віднести проникнення до певних платформ з високою впевненістю, замість того щоб залежати лише від поведінкових або відбиткових припущень.

Пом’якшення

Організації повинні знизити ризики, ввімкнувши інспекцію TLS для зашифрованого командно-контрольного трафіку та запровадивши EDR, здатний виявляти certutil-використання під час етапування та підозріле виконання PowerShell. Видимість розширень файлів повинна бути забезпечена, щоб послабити трюки з обманом назв файлів на основі RTLO, а запис у реєстрі Run-key до загальнодоступних або до місць, доступних для запису користувачами, повинні контролюватися пильно. Команди також повинні проводити інвентаризацію і піднімати тривогу щодо несанкціонованих засобів віддаленого управління, таких як ScreenConnect, особливо коли їх інстальовано через msiexec.

Відповідь

Якщо ця активність виявляється, відразу ж ізолюйте уражені кінцеві точки, щоб припинити командно-контрольний трафік і запобігти подальшим латеральним переміщенням через SAMR або LSAD. Проведіть повне судово-медичне обстеження для виявлення бібліотек XWorm DLL і артефактів AdaptixC2 у загальнодоступних папках та інших загальних шляхах етапування. Дослідники повинні також перевіряти шаблони ексфільтрації, пов’язані з Telegram, і перевіряти ключі стійкості реєстру, що імітують легітимні імена оновлювачів.

Потік Атаки

Виявлення

Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через registry_event)

Команда SOC Prime
12 червня 2026

Використання Certutil для кодування даних та операцій з сертифікатами (через cmdline)

Команда SOC Prime
12 червня 2026

Підозріле виконання з профілю загальнодоступного користувача (через process_creation)

Команда SOC Prime
12 червня 2026

Альтернативне програмне забезпечення для віддаленого доступу / управління (через process_creation)

Команда SOC Prime
12 червня 2026

Архів був розпакований у підозрілий каталог за допомогою PowerShell (через powershell)

Команда SOC Prime
12 червня 2026

Підозрілі файли в профілі загальнодоступного користувача (через file_event)

Команда SOC Prime
12 червня 2026

Спроба зв’язку з доменом для динамічного пошуку IP (через dns)

Команда SOC Prime
12 червня 2026

Було зв’язання з динамічним DNS-сервісом (через dns)

Команда SOC Prime
12 червня 2026

Ідентифікатори (HashSha256) для виявлення: [Звіт з Операції] Від SSA фішинг до AdaptixC2: Багато-«RAT» протикнення

Правила SOC Prime AI
12 червня 2026

Ідентифікатори (HashMd5) для виявлення: [Звіт з Операції] Від SSA фішинг до AdaptixC2: Багато-«RAT» протикнення

Правила SOC Prime AI
12 червня 2026

Ідентифікатори (IP джерела) для виявлення: [Звіт з Операції] Від SSA фішинг до AdaptixC2: Багато-«RAT» протикнення

Правила SOC Prime AI
12 червня 2026

Ідентифікатори (IP призначення) для виявлення: [Звіт з Операції] Від SSA фішинг до AdaptixC2: Багато-«RAT» протикнення

Правила SOC Prime AI
12 червня 2026

Виявлення командно-контрольної комунікації AdaptixC2 [Підключення до мережі Windows]

Правила SOC Prime AI
12 червня 2026

Виявлення розгортання AdaptixC2 та ScreenConnect за допомогою Certutil та Msiexec [Створення процесу Windows]

Правила SOC Prime AI
12 червня 2026

Виконання симуляції

Попередня умова: Перевірка Телеметрії та Базової Лінії повинна була пройти успішно.

Пояснення: цей розділ деталізує точне виконання техніки противника (TTP), призначеної для активації правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати виявлені TTP та прагнути генерувати точну телеметрію, очікувану логікою виявлення.

  • Наратив нападу та команди: Зловмисник успішно закріпився на цільовій машині через спарфішингове посилання. Для підтримки контролю та отримання інструкцій, агент AdaptixC2 намагається “відомити” своєму серверу команд і контролю. Агент запрограмований для зв’язку з заздалегідь визначеним URI (98.81.111.167/updates/check.php) або резервною IP-адресою (23.20.229.225) через порт 443. Завдяки симуляції цих точних спроб підключення, ми підтверджуємо, чи правильно визначає ці відомі шкідливі шаблони правило виявлення брандмауера/мережі.

  • Сценарій регресійного тестування: Цей сценарій використовує PowerShell для імітації двох різних спроб підключення: одна, що цілить на конкретний URL, і одна, яка цілить на конкретну IP-адресу.

    # Симуляція комунікації AdaptixC2 C2
    Write-Host "[+] Початок симуляції AdaptixC2..." -ForegroundColor Cyan
    
    # Сценарій 1: Підключення до конкретного шкідливого шаблону URL
    Write-Host "[+] Спроба підключення до шкідливого URL: 98.81.111.167/updates/check.php" -ForegroundColor Yellow
    try {
        # Ми використовуємо -ErrorAction SilentlyContinue, тому що IP, швидше за все, не відповість або не вирішиться, 
        # але сама спроба підключення створить телеметрію.
        Invoke-WebRequest -Uri "http://98.81.111.167/updates/check.php" -Method Get -ErrorAction SilentlyContinue
    } catch {
        Write-Host "[!] Підключення не вдалося (очікувано), але телеметрія повинна бути згенерована." -ForegroundColor Gray
    }
    
    # Сценарій 2: Підключення до конкретної шкідливої IP на порту 443
    Write-Host "[+] Спроба підключення до шкідливої IP: 23.20.229.225 на порті 443" -ForegroundColor Yellow
    try {
        $tcpClient = New-Object System.Net.Sockets.TcpClient
        $connection = $tcpClient.BeginConnect("23.20.229.225", 443, $null, $null)
        $success = $connection.AsyncWaitHandle.WaitOne(5000, $false)
        if ($success) {
            Write-Host "[+] Підключення успішне (малоймовірно у реальному тесті)." -ForegroundColor Green
        } else {
            Write-Host "[!] Тайм-аут підключення (очікувано), але телеметрія повинна бути згенерована." -ForegroundColor Gray
        }
        $tcpClient.Close()
    } catch {
        Write-Host "[!] Помилка під час спроби TCP-підключення." -ForegroundColor Red
    }
    
    Write-Host "[+] Симуляція завершена." -ForegroundColor Cyan
  • Команди прибирання:

    # Жодні постійні артефакти не були створені цією симуляцією, оскільки вона лише генерує мережевий трафік.
    Write-Host "[+] Прибирання не потрібне. Мережеві підключення були тимчасовими." -ForegroundColor Green