新興のTuoni C2フレームワークを用いた高度な侵入の試みが、2025年10月に米国の大手不動産会社を標的にしました。
Morphisecが観測し、本日公開されたアドバイザリで説明したこの攻撃は、ソーシャルエンジニアリング、ステガノグラフィ、メモリ内実行を組み合わせたものでした。
このキャンペーンは、脅威アクターが従来の防御を回避するために、モジュール型のコマンド&コントロール(C2)ツールとAI支援の配信手法を組み合わせていることを示しています。
出発点としてのソーシャルエンジニアリング
Morphisecによると、この作戦はMicrosoft Teamsのなりすまし手口から始まった可能性が高いとのことです。
攻撃者は信頼できる連絡先を装い、従業員に悪意のあるPowerShellのワンライナーを実行させたようです。そのコマンドは隠しPowerShellプロセスを起動し、リモートサーバーから二次スクリプトを取得しました。研究者は、ローダーにスクリプト化されたコメントや、AI生成コードにしばしば見られるモジュール構造のパターンが含まれていたと指摘しました。
実行されると、スクリプトは無害に見えるBMPファイルをダウンロードし、最下位ビット(LSB)技法を用いて埋め込まれたシェルコードを抽出しました。このステガノグラフィ手法により、次段階のペイロードを隠蔽できました。抽出されたコードはその後、完全にメモリ内で実行され、ディスク上の痕跡を回避しました。
メモリ内実行について詳しく読む:メモリ内サイバー攻撃という見えない脅威に対抗する
動的実行とリフレクティブ・ローディング
セキュリティツールを作動させかねない直接的なAPI呼び出しを行う代わりに、スクリプトはインラインC#をコンパイルし、Marshal.GetDelegateForFunctionPointerを介したデリゲートベースの呼び出しを使用しました。この間接化により、ペイロードは関数を動的に解決して実行でき、検知を困難にしました。
最終的に、このプロセスは従来型のインジケーターを残すことなくTuoniAgent.dllをリフレクティブにロードしました。
Tuoni自体は、HTTP、HTTPS、またはSMBで通信するモジュール型の侵害後フレームワークです。幅広いシステム操作コマンド、自動的なSYSTEMへの権限昇格 、および実行時にのみデコードされる難読化されたエクスポートをサポートします。
エンコードされたリソースセクションに隠された設定データは、このキャンペーンに関連する2つのC2 サーバーを指していました。
AI支援ローダーの利用拡大
このインシデントは、攻撃者の手口におけるいくつかの広範なトレンドを反映しています。脅威グループは、Tuoniのような無料でドキュメントが整備されたC2フレームワークをますます採用しており、これらはカスタムローダーと容易に組み合わせられます。
これらのローダーの多くは現在、AI生成コードのコンポーネント、ステガノグラフィ、監視を回避するための動的デリゲーションを取り込んでいます。従来のアンチウイルスやエンドポイント検知・対応(EDR)ツールは、このようなメモリ内・リフレクティブ技法に苦戦しており、モジュール型C2の配信チェーンは脅威アクターにとってより魅力的になっています。
「Tuoni C2攻撃は、攻撃者がAIや、ステガノグラフィやメモリ内実行といった高度な技術を活用して従来の防御を回避していることを示しています」 と、MorphisecはInfosecurityに語りました。
「[当社の] Automated Moving Target Defense(AMTD)は実行前に攻撃を阻止し、予防優先戦略の重要性を浮き彫りにしました。Tuoniのようなツールがますます入手しやすくなる中、進化するこれらの脅威に先んじるためには、先制的なサイバー防御ファーストのアプローチを直ちに採用することが不可欠です。」
翻訳元: https://www.infosecurity-magazine.com/news/ai-tuoni-framework-targets-us-real/
