تواجه منظمات الأعمال تهديداً سيبرانياً جديداً يتمثل في استخدام المخترقين لإطار عمل Tuoni للتحكم والسيطرة (C2). يتيح هذا الإطار المتطور للمهاجمين نشر حمولات خبيثة مباشرة في ذاكرة النظام، مما يجعل اكتشافها أكثر صعوبة.
أفاد باحثون أمنيون أن هذا التكتيك الجديد يساعد المهاجمين على تفادي الحلول الأمنية التقليدية التي تعتمد على فحص الملفات المخزنة على القرص الصلب. لقد برز إطار Tuoni كأداة قوية تسمح بهجمات متقدمة.
التفاصيل التقنية لإطار Tuoni الجديد
يُعرف إطار Tuoni بتصميمه المعياري وقدرته على دعم سيناريوهات هجوم متعددة دون ترك آثار كبيرة على الأنظمة المخترقة. وعادة ما يبدأ الهجوم برسائل تصيد احتيالي أو مواقع ويب مخترقة تقوم بتسليم الحمولة الأولية.
بمجرد تنفيذ الحمولة، يقوم البرمجية الخبيثة بإنشاء اتصال بخادم التحكم والسيطرة الخاص بالمهاجم وينتظر التعليمات الإضافية. ما يجعل Tuoni خطيراً هو استخدامه للتنفيذ داخل الذاكرة، مما يعني أن الشفرة الخبيثة تعمل بالكامل ضمن ذاكرة الوصول العشوائي (RAM) دون كتابة ملفات على القرص الصلب.
هذا النهج يقلل بشكل كبير من فرص اكتشاف البرامج الضارة بواسطة برامج مكافحة الفيروسات وأدوات الحماية المتقدمة. وقد قامت شركة Morphisec للأمن السيبراني بتحديد هذا التهديد أثناء مراقبتها لأنشطة الشبكة المشبوهة.
آلية عمل Tuoni والآثار الأمنية
كشفت التحليلات أن المهاجمين يستخدمون Tuoni لنشر حمولات ثانوية تشمل برامج سرقة بيانات الاعتماد، برامج الفدية، وأحصنة طروادة الوصول عن بعد. يدعم الإطار بروتوكولات اتصال متنوعة ويمكنه مزج حركة المرور الخاصة به مع نشاط الشبكة المشروع.
هذا التمويه يجعل من الصعب على فرق الأمن تحديد الأجهزة المخترقة. يعتمد إطار Tuoni على تقنيات متقدمة للحفاظ على التخفي أثناء العمل على الأنظمة المصابة. في جوهره، يستخدم البرنامج الضار حقن العمليات لإدراج شفرته في عمليات Windows شرعية.
يتم ذلك من خلال استدعاءات واجهة برمجة التطبيقات (API) مثل VirtualAllocEx و WriteProcessMemory، والتي تخصص مساحة ذاكرة داخل العملية المستهدفة وتكتب الحمولة الخبيثة فيها. بالإضافة إلى ذلك، يقوم الإطار بتشفير اتصالات الشبكة الخاصة به، مستخدماً AES-256 لترميز البيانات المنقولة بين المضيف المصاب وخادم C2.
هذا التشفير يمنع أدوات مراقبة الشبكات من فحص محتوى الأوامر والبيانات المسروقة. ولمواجهة هذه التهديدات، يُنصح المنظمات بتطبيق قدرات مسح الذاكرة ومراقبة سلوكيات العمليات غير العادية للكشف عن إصابات Tuoni بفعالية.