行業新聞與部落格

2025 年 10 月，美國一家大型房地產公司遭到使用新興的 Tuoni C2 框架的高階入侵攻擊。

Morphisec 觀察到的此次攻擊，並在今天釋出的一份安全公告中進行了描述，該攻擊結合了社會工程、隱寫術和記憶體內執行。

該活動表明，威脅行為者如何將模組化指揮控制 (C2) 工具與人工智慧輔助的投放方法相結合，以繞過傳統的防禦措施。

社會工程學作為出發點

據 Morphisec 稱，該行動很可能是從冒充 Microsoft Teams 開始的。 

攻擊者似乎偽裝成可信聯絡人，誘騙一名員工執行惡意 PowerShell 單行命令。該命令啟動了一個隱藏的 PowerShell 程序，並從遠端伺服器檢索了一個輔助指令碼。研究人員注意到，該載入器包含指令碼註釋和模組化結構模式，這些通常與人工智慧生成的程式碼相關。

指令碼執行後，會下載一個看似無害的 BMP 檔案，並利用最低有效位（LSB）技術提取嵌入的 shellcode。這種隱寫方法有助於隱藏後續的有效載荷。提取的程式碼隨後完全在記憶體中執行，避免了磁碟上的痕跡。

動態執行和反射載入

該指令碼沒有直接呼叫可能觸發安全工具的 API，而是使用內聯 C# 程式碼，並透過 `Marshal.GetDelegateForFunctionPointer` 進行基於委託的呼叫。這種間接方式允許有效載荷動態解析和執行函式，從而增加了檢測難度。

該過程最終透過反射載入 TuoniAgent.dll，而沒有留下傳統的指示器。

Tuoni 本身是一個模組化的後滲透框架，可透過 HTTP、HTTPS 或 SMB 進行通訊。它支援廣泛的系統操作命令、自動提權至 SYSTEM 許可權以及僅在執行時解碼的混淆匯出。

其配置資料隱藏在編碼的資源部分中，指向與該戰役連線的兩個 C2 伺服器。

人工智慧輔助裝載機的應用日益廣泛

此次事件反映了攻擊者技術方面的幾個更廣泛的趨勢。威脅組織越來越多地採用免費且文件齊全的 C2 框架，例如 Tuoni，這些框架可以輕鬆地與自定義載入器結合使用。

許多此類載入器現在都集成了人工智慧生成的程式碼元件、隱寫術和動態委託技術，以規避監控。傳統的防病毒和端點檢測與響應 (EDR) 工具難以應對此類記憶體反射技術，這使得模組化的 C2 交付鏈對威脅行為者更具吸引力。

Morphisec 告訴Infosecurity：“Tuoni C2 攻擊表明攻擊者如何利用人工智慧和隱寫術、記憶體執行等先進技術來規避傳統防禦措施。” 

“我們的自動化移動目標防禦系統（AMTD）在攻擊執行前就將其阻止，凸顯了預防優先策略的重要性。隨著像 Tuoni 這樣的工具越來越普及，立即採取先發制人的網路防禦策略對於應對這些不斷演變的威脅至關重要。”