Специалисты Morphisec Threat Labs зафиксировали целенаправленную атаку на американскую риелторскую компанию в октябре 2025 года. Инцидент примечателен использованием перспективного фреймворка Tuoni для командования и управления (C2), который применялся для доставки скрытых полезных нагрузок непосредственно в память.
Описание
По данным исследователей, начальным вектором атаки стала социальная инженерия через Microsoft Teams. Злоумышленники имперсонировали доверенных поставщиков или коллег, чтобы убедить сотрудника выполнить однострочную вредоносную команду PowerShell. Данный сценарий запускал скрытый процесс, загружающий вторичный скрипт с удаленного сервера.
На втором этапе атаки проявилась ее повышенная сложность. Загруженный скрипт использовал технику стеганографии для сокрытия полезной нагрузки в безобидном BMP-изображении. Код содержал автоматически сгенерированные комментарии, что указывает на возможное использование искусственного интеллекта для создания скриптов. Извлечение шелл-кода происходило через метод наименьших значащих битов, при этом сама полезная нагрузка выполнялась исключительно в памяти.
Особый интерес представляет механизм обхода систем защиты. Вместо прямых вызовов API скрипт компилировал код C# и использовал Marshal.GetDelegateForFunctionPointer для динамического вызова функций. Такой подход создает дополнительный уровень косвенности, эффективно обходя сигнатурные методы обнаружения.
Извлеченная полезная нагрузка рефлективно загружала в память библиотеку TuoniAgent.dll. Фреймворк Tuoni представляет собой модульное решение для пост-эксплуатации с поддержкой различных протоколов связи. Агент обладает функцией автоматического повышения привилегий до уровня SYSTEM и использует сложные методы обфускации, включая XOR-кодирование экспортов.
Конфигурация агента указала на основной C2-сервер kupaoquan[.]com, а дополнительные исследования выявили резервный домен udefined30[.]domainofhonour40.xyz. Аналитики отмечают, что Tuoni активно развивается и распространяется с бесплатной лицензией, что способствует его быстрому принятию различными группами злоумышленников.
Эксперты подчеркивают важность проактивных мер защиты против подобных атак. Традиционные антивирусные решения и системы обнаружения угроз часто оказываются неэффективными против методов выполнения кода в памяти и рефлективной загрузки. Современные угрозы требуют комплексного подхода к безопасности, сочетающего технологические решения и обучение сотрудников.
Данный инцидент демонстрирует растущую изощренность кибератак, где классические инструменты сочетаются с новыми технологиями. Использование стеганографии, динамического выполнения кода и AI-ассистированного создания скриптов становится новой нормой в арсенале злоумышленников. Специалисты рекомендуют организациям регулярно обновлять стратегии защиты и внедрять многоуровневые системы безопасности.
Индикаторы компрометации
IPv4
- 206.81.10.0
Domains
- udefined30.domainofhonour40.xyz
URLs
- http://kupaoquan.com
