{
“title”: “ハッカーがTuoni C2フレームワークを悪用し、ステルス性の高いメモリ内ペイロードを展開”,
“content”: “
はじめに:ステルス攻撃とAIの進化
2025年10月、Morphisecのラン
“`json
{
“title”: “ハッカーがTuoni C2フレームワークを悪用し、ステルス性の高いメモリ内ペイロードを展開”,
“content”: “
はじめに:ステルス攻撃とAIの進化
2025年10月、Morphisecのランサムウェア対策プラットフォームが、米国の主要な不動産会社を標的とした高度なサイバー攻撃を検知・無力化しました。この攻撃は、ステルス性の高いメモリ内ペイロードを配信し、従来のセキュリティ防御を回避するように設計された、無料でモジュール式のコマンド&コントロールツールである「Tuoni C2フレームワーク」がもたらす新たな脅威を示しています。この攻撃が特に注目すべきは、スクリプト化されたコメントや初期ローダーのモジュール構造に見られるように、AI支援のコード生成が配信メカニズムに統合されていた点です。この事件は、脅威アクターがいかに高度なフレームワークを迅速に採用し、人工知能を活用して回避能力を高めているかを浮き彫りにし、従来のエンドポイント保護に依存する防御側にとって手ごわい課題を生み出しています。
攻撃の全貌:巧妙な侵入経路と回避技術
この攻撃は10月中旬に、Microsoft Teamsを介したソーシャルエンジニアリングによって開始されたとみられています。攻撃者は信頼できるベンダーや同僚になりすまし、従業員をだまして悪意のあるPowerShellワンライナーを実行させ、最初の足場を確立しました。攻撃者の侵入ポイントは、非表示のPowerShellプロセスを生成し、hxxp://kupaoquan[.]com/files/update-web-kupaoquan.com.ps1からセカンダリスクリプトをダウンロードしました。この段階では、一見無害に見えるBMP画像ファイル(bg-engine.bmp)に埋め込まれたステガノグラフィという革新的な回避技術が用いられました。ダウンロードされたスクリプトは、最小ビット(LSB)操作技術を使用して、画像のピクセルデータから隠されたシェルコードを抽出しました。セキュリティツールが監視する直接的なAPI呼び出しを使用する代わりに、マルウェアはインラインC#をコンパイルし、Marshal.GetDelegateForFunctionPointerを活用して動的にネイティブ関数を呼び出しました。このデリゲーションアプローチは、追加のインダイレクション層を作成し、従来のアンチウイルスおよびエンドポイント検出応答ソリューションが通常採用するシグネチャベースの検出メカニズムをペイロードがバイパスできるようにしました。一度実行されると、ペイロードはTuoniAgent.dllを完全にメモリにリフレクティブにロードし、ファイルシステム上のフォレンジック痕跡を最小限に抑える手法です。
Tuoni C2フレームワーク:新たな脅威の台頭
Tuoniは、HTTP、HTTPS、SMB通信をサポートするモジュラー型のポストエクスプロイテーションフレームワークです。このフレームワークは、エージェント管理とシステム操作のための広範なネイティブコマンドを提供し、SYSTEMレベルアクセスへの自動特権昇格も含まれます。エクスポートがXORエンコードされており、反射的ロード中にのみデコードされるため、高度に難読化されており、分析を困難にしています。脅威アクターの設定により、主要なC2サーバーが206.81.10[.]0にあり、hxxp://kupaoquan[.]comを通じて通信していることが明らかになりました。脅威インテリジェンス分析により、セカンダリドメインとしてudefined30[.]domainofhonour40.xyzが発見されました。Tuoniの普及は、そのアクセシビリティに起因します。無料で、十分に文書化されており、活発な開発が行われているフレームワークであるため、プロプライエタリなツールのコストをかけずに強力なポストエクスプロイテーション機能を探しているランサムウェアアフィリエイトやその他の犯罪グループにとって魅力的な選択肢となっています。
対抗策:予防第一の重要性
MorphisecのAMTD(Automated Moving Target Defense)技術は、C2リスナーが実行される前に攻撃を検知しブロックし、データ流出、ランサムウェアの展開、横方向の移動を防ぎました。この事件は、従来のEDRソリューションがメモリ内、反射的な技術に対して不十分であることを示しています。これは、高度な脅威キャンペーンにおいてますます一般的になっている戦術です。
今回の攻撃から学ぶべき3つの教訓
- 第一に、Tuoniの採用は脅威アクターの間で急速に加速するでしょう。
- 第二に、ステガノグラフィと動的なデリゲーションを組み合わせたAI支援の配信メカニズムは、高度なローダーの新たな標準を表しています。
- 第三に、従来のAVおよびEDRソリューションはこれらの高度な回避技術に対して失敗するため、組織は実行前に脅威を検知できる予防第一のアプローチを採用する必要があります。
“,
“status”: “publish”
}
“`{
“title”: “ハッカーがTuoni C2フレームワークを悪用し、ステルス性の高いメモリ内ペイロードを展開”,
“content”: “
はじめに:ステルス攻撃とAIの進化
2025年10月、Morphisecのランサムウェア
“`json
{
“title”: “ハッカーがTuoni C2フレームワークを悪用し、ステルス性の高いメモリ内ペイロードを展開”,
“content”: “
はじめに:ステルス攻撃とAIの進化
2025年10月、Morphisecのランサムウェア対策プラットフォームが、米国の主要な不動産会社を標的とした高度なサイバー攻撃を検知・無力化しました。この攻撃は、ステルス性の高いメモリ内ペイロードを配信し、従来のセキュリティ防御を回避するように設計された、無料でモジュール式のコマンド&コントロールツールである「Tuoni C2フレームワーク」がもたらす新たな脅威を示しています。この攻撃が特に注目すべきは、スクリプト化されたコメントや初期ローダーのモジュール構造に見られるように、AI支援のコード生成が配信メカニズムに統合されていた点です。この事件は、脅威アクターがいかに高度なフレームワークを迅速に採用し、人工知能を活用して回避能力を高めているかを浮き彫りにし、従来のエンドポイント保護に依存する防御側にとって手ごわい課題を生み出しています。
攻撃の全貌:巧妙な侵入経路と回避技術
この攻撃は10月中旬に、Microsoft Teamsを介したソーシャルエンジニアリングによって開始されたとみられています。攻撃者は信頼できるベンダーや同僚になりすまし、従業員をだまして悪意のあるPowerShellワンライナーを実行させ、最初の足場を確立しました。攻撃者の侵入ポイントは、非表示のPowerShellプロセスを生成し、hxxp://kupaoquan[.]com/files/update-web-kupaoquan.com.ps1からセカンダリスクリプトをダウンロードしました。この段階では、一見無害に見えるBMP画像ファイル(bg-engine.bmp)に埋め込まれたステガノグラフィという革新的な回避技術が用いられました。ダウンロードされたスクリプトは、最小ビット(LSB)操作技術を使用して、画像のピクセルデータから隠されたシェルコードを抽出しました。セキュリティツールが監視する直接的なAPI呼び出しを使用する代わりに、マルウェアはインラインC#をコンパイルし、Marshal.GetDelegateForFunctionPointerを活用して動的にネイティブ関数を呼び出しました。このデリゲーションアプローチは、追加のインダイレクション層を作成し、従来のアンチウイルスおよびエンドポイント検出応答ソリューションが通常採用するシグネチャベースの検出メカニズムをペイロードがバイパスできるようにしました。一度実行されると、ペイロードはTuoniAgent.dllを完全にメモリにリフレクティブにロードし、ファイルシステム上のフォレンジック痕跡を最小限に抑える手法です。
Tuoni C2フレームワーク:新たな脅威の台頭
Tuoniは、HTTP、HTTPS、SMB通信をサポートするモジュラー型のポストエクスプロイテーションフレームワークです。このフレームワークは、エージェント管理とシステム操作のための広範なネイティブコマンドを提供し、SYSTEMレベルアクセスへの自動特権昇格も含まれます。エクスポートがXORエンコードされており、反射的ロード中にのみデコードされるため、高度に難読化されており、分析を困難にしています。脅威アクターの設定により、主要なC2サーバーが206.81.10[.]0にあり、hxxp://kupaoquan[.]comを通じて通信していることが明らかになりました。脅威インテリジェンス分析により、セカンダリドメインとしてudefined30[.]domainofhonour40.xyzが発見されました。Tuoniの普及は、そのアクセシビリティに起因します。無料で、十分に文書化されており、活発な開発が行われているフレームワークであるため、プロプライエタリなツールのコストをかけずに強力なポストエクスプロイテーション機能を探しているランサムウェアアフィリエイトやその他の犯罪グループにとって魅力的な選択肢となっています。
対抗策:予防第一の重要性
MorphisecのAMTD(Automated Moving Target Defense)技術は、C2リスナーが実行される前に攻撃を検知しブロックし、データ流出、ランサムウェアの展開、横方向の移動を防ぎました。この事件は、従来のEDRソリューションがメモリ内、反射的な技術に対して不十分であることを示しています。これは、高度な脅威キャンペーンにおいてますます一般的になっている戦術です。
今回の攻撃から学ぶべき3つの教訓
- 第一に、Tuoniの採用は脅威アクターの間で急速に加速するでしょう。
- 第二に、ステガノグラフィと動的なデリゲーションを組み合わせたAI支援の配信メカニズムは、高度なローダーの新たな標準を表しています。
- 第三に、従来のAVおよびEDRソリューションはこれらの高度な回避技術に対して失敗するため、組織は実行前に脅威を検知できる予防第一のアプローチを採用する必要があります。
“,
“status”: “publish”
}
“`