Ένα νέο κύμα κυβερνοεπιθέσεων έχει εμφανιστεί χρησιμοποιώντας το πλαίσιο Tuoni Command and Control (C2), ένα εξελιγμένο εργαλείο που επιτρέπει στους παράγοντες απειλών να αναπτύσσουν κακόβουλα ωφέλιμα φορτία απευθείας στη μνήμη του συστήματος.
Αυτή η τεχνική βοηθά τους εισβολείς να αποφύγουν τον εντοπισμό από παραδοσιακές λύσεις ασφαλείας που βασίζονται στη σάρωση αρχείων που είναι αποθηκευμένα στο δίσκο.
Το πλαίσιο Tuoni έχει κερδίσει την προσοχή στην κοινότητα της κυβερνοασφάλειας για τον αρθρωτό σχεδιασμό του και την ικανότητά του να υποστηρίζει πολλαπλά σενάρια επιθέσεων χωρίς να αφήνει σημαντικά ίχνη σε παραβιασμένα συστήματα.
Η επίθεση συνήθως ξεκινά με μηνύματα ηλεκτρονικού ψαρέματος ή παραβιασμένους ιστότοπους που παρέχουν το αρχικό ωφέλιμο φορτίο. Μόλις εκτελεστεί, το κακόβουλο λογισμικό δημιουργεί μια σύνδεση με τον διακομιστή C2 του εισβολέα και περιμένει για περαιτέρω οδηγίες.
Αυτό που κάνει το Tuoni ιδιαίτερα επικίνδυνο είναι η χρήση του στην εκτέλεση στη μνήμη, που σημαίνει ότι ο κακόβουλος κώδικας εκτελείται εξ ολοκλήρου στη μνήμη RAM του υπολογιστή χωρίς να εγγράφει αρχεία στον σκληρό δίσκο.
Αυτή η προσέγγιση μειώνει σημαντικά τις πιθανότητες εντοπισμού από λογισμικό προστασίας από ιούς και εργαλεία προστασίας τελικών σημείων.
Ερευνητές ασφάλειας Morphisec αναγνωρισθείς η απειλή κατά τη συνήθη παρακολούθηση ύποπτων δραστηριοτήτων δικτύου. Η ανάλυσή τους αποκάλυψε ότι οι επιτιθέμενοι χρησιμοποιούσαν το Tuoni για να παραδώσουν δευτερεύοντα ωφέλιμα φορτία, συμπεριλαμβανομένων κλοπών διαπιστευτηρίων, ransomware και trojan απομακρυσμένης πρόσβασης.
Το πλαίσιο υποστηρίζει διάφορα πρωτόκολλα επικοινωνίας και μπορεί να συνδυάσει την επισκεψιμότητά του με νόμιμη δραστηριότητα δικτύου, καθιστώντας δύσκολο για τις ομάδες ασφαλείας να εντοπίσουν μηχανήματα που έχουν παραβιαστεί.
Τεχνική Ανάλυση της εκτέλεσης στη μνήμη του Tuoni
Το πλαίσιο Tuoni χρησιμοποιεί πολλές προηγμένες τεχνικές για τη διατήρηση της μυστικότητας κατά τη λειτουργία σε μολυσμένα συστήματα. Στον πυρήνα του, το κακόβουλο λογισμικό χρησιμοποιεί ένεση διεργασίας για να εισάγει τον κώδικά του σε νόμιμες διεργασίες των Windows, όπως το svchost.exe ή το explorer.exe.
.webp.jpeg)
Αυτό επιτυγχάνεται μέσω κλήσεων API όπως το VirtualAllocEx και το WriteProcessMemory, οι οποίες εκχωρούν χώρο στη μνήμη εντός της διαδικασίας προορισμού και γράφουν το κακόβουλο ωφέλιμο φορτίο σε αυτόν τον χώρο.
LPVOID addr = VirtualAllocEx(hProcess, NULL, payloadSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProcess, addr, payload, payloadSize, NULL);
CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)addr, NULL, 0, NULL);Το πλαίσιο εφαρμόζει επίσης κρυπτογράφηση για τις επικοινωνίες δικτύου του, χρησιμοποιώντας το AES-256 για την κωδικοποίηση δεδομένων που μεταδίδονται μεταξύ του μολυσμένου κεντρικού υπολογιστή και του διακομιστή C2.
Αυτό εμποδίζει τα εργαλεία παρακολούθησης δικτύου να επιθεωρήσουν το περιεχόμενο εντολών και κλεμμένων δεδομένων. Οι οργανισμοί θα πρέπει να εφαρμόζουν δυνατότητες σάρωσης μνήμης και να παρακολουθούν για ασυνήθιστες συμπεριφορές διεργασιών για την αποτελεσματική ανίχνευση λοιμώξεων από Tuoni.
