行業新聞與博客

2025 年 10 月，美國一家大型房地產公司遭到使用新興的 Tuoni C2 框架的高級入侵攻擊。

Morphisec 觀察到的此次攻擊，並在今天發佈的一份安全公告中進行了描述，該攻擊結合了社會工程、隱寫術和內存內執行。

該活動表明，威脅行為者如何將模塊化指揮控制 (C2) 工具與人工智能輔助的投放方法相結合，以繞過傳統的防禦措施。

社會工程學作為出發點

據 Morphisec 稱，該行動很可能是從冒充 Microsoft Teams 開始的。 

攻擊者似乎偽裝成可信聯繫人，誘騙一名員工運行惡意 PowerShell 單行命令。該命令啓動了一個隱藏的 PowerShell 進程，並從遠程服務器檢索了一個輔助腳本。研究人員注意到，該加載器包含腳本註釋和模塊化結構模式，這些通常與人工智能生成的代碼相關。

腳本執行後，會下載一個看似無害的 BMP 文件，並利用最低有效位（LSB）技術提取嵌入的 shellcode。這種隱寫方法有助於隱藏後續的有效載荷。提取的代碼隨後完全在內存中運行，避免了磁盤上的痕跡。

動態執行和反射加載

該腳本沒有直接調用可能觸發安全工具的 API，而是使用內聯 C# 代碼，並通過 `Marshal.GetDelegateForFunctionPointer` 進行基於委託的調用。這種間接方式允許有效載荷動態解析和執行函數，從而增加了檢測難度。

該過程最終通過反射加載 TuoniAgent.dll，而沒有留下傳統的指示器。

Tuoni 本身是一個模塊化的後滲透框架，可通過 HTTP、HTTPS 或 SMB 進行通信。它支持廣泛的系統操作命令、自動提權至 SYSTEM 權限以及僅在運行時解碼的混淆導出。

其配置數據隱藏在編碼的資源部分中，指向與該戰役連接的兩個 C2 服務器。

人工智能輔助裝載機的應用日益廣泛

此次事件反映了攻擊者技術方面的幾個更廣泛的趨勢。威脅組織越來越多地採用免費且文檔齊全的 C2 框架，例如 Tuoni，這些框架可以輕鬆地與自定義加載器結合使用。

許多此類加載器現在都集成了人工智能生成的代碼組件、隱寫術和動態委託技術，以規避監控。傳統的防病毒和端點檢測與響應 (EDR) 工具難以應對此類內存反射技術，這使得模塊化的 C2 交付鏈對威脅行為者更具吸引力。

Morphisec 告訴Infosecurity：“Tuoni C2 攻擊表明攻擊者如何利用人工智能和隱寫術、內存執行等先進技術來規避傳統防禦措施。” 

“我們的自動化移動目標防禦系統（AMTD）在攻擊執行前就將其阻止，凸顯了預防優先策略的重要性。隨着像 Tuoni 這樣的工具越來越普及，立即採取先發制人的網絡防禦策略對於應對這些不斷演變的威脅至關重要。”