Source:https://thehackernews.com/2025/11/researchers-detail-tuoni-c2s-role-in.html
🛡 概要
米国の大手不動産企業を標的とした侵入未遂で、赤チーム向けの新興C2フレームワーク「Tuoni」が悪用された事案が報告されました。報告(Morphisec経由)によれば、攻撃者はMicrosoft Teamsのなりすましによるソーシャルエンジニアリングで従業員にPowerShell実行を促し、外部ホスト「kupaoquan[.]com」から段階的にペイロードを取得。ビットマップ(BMP)画像に隠した次段 payload を展開し、メモリ上で「TuoniAgent.dll」を実行してC2へ接続を試みました。攻撃は最終的に失敗しましたが、正規のレッドチーム用C2を悪用し、検知回避を狙う近年の傾向を示しています。Tuoniは2024年初頭に公開された新しいC2で、無償のCommunity EditionがGitHubで入手可能です。
🔍 技術詳細
初期侵入は、Teams上での信頼関係(取引先・同僚の成りすまし)を装ったメッセージにより、被害者端末でのPowerShell実行を誘導する手口でした。第一段階のPowerShellは、外部ドメイン「kupaoquan[.]com」から第二段階スクリプトをダウンロード(Ingress Tool Transfer)し、当該スクリプトがステガノグラフィ(BMP画像内に隠蔽)された次段階ペイロードを復号・抽出します。抽出されたシェルコードはディスクに落とさずメモリ上でリフレクティブにロードされ、.NETアセンブリないしDLLとして「TuoniAgent.dll」に該当するエージェント機能を実行。以降、C2サーバ(同ドメイン)へHTTP/HTTPSベースでビーコン通信を開始し、遠隔操作や追加コマンドの受信が可能となる想定です。全体のローダはコメントやモジュール化の構造から自動生成支援の痕跡が示唆され、検知回避のために・PowerShellの難読化(エンコード引数、Webクライアント/APIの利用)・ステガノグラフィ(T1027.003)・メモリ内実行(T1620)といった手口を段階的に組み合わせています。本事例では永続化や権限昇格の痕跡は公表されていませんが、C2接続直前までの実行連鎖が確認されています。
⚠ 影響
不動産業の業務特性(多数の外部ベンダー・顧客・金融機関とのやり取り)により、Teams等のコラボレーション基盤を介した信頼性の誤認を突く攻撃は高リスクです。成功した場合、機密性の高い契約書、物件データ、個人情報(KYC/与信)、入札・M&A関連文書などの窃取、業務停止、対顧客信用失墜、法令・契約違反を招き得ます。本件は特定CVEの悪用ではなく、ソーシャルエンジニアリングとスクリプト実行、ステガノグラフィ、メモリ常駐C2の組み合わせであり、CVSSスコアの適用対象はありません(CVE/CVSS該当なし)。
🛠 対策
技術・運用の両面で多層防御を実装してください。
- Teams/コラボ基盤保護:外部アクセスのポリシー化(許可ドメインのホワイトリスト化、ゲスト/外部ユーザー制御)、未知外部からのファイル/リンク制限、リンク保護(Safe Links等)、警告ラベルの明示。
- PowerShellハードニング:Constrained Language Mode、AMSI有効化・検査強化、スクリプト実行ポリシー、不要ユーザーのPowerShell使用制限、AppLocker/WDACでpowershell.exe/pwsh.exeの制御、EncodedCommand/IEX等の監視・ブロック。
- ネットワーク制御:プロキシでの不審ドメイン遮断(kupaoquan[.]comを含むIoCの即時ブロック)、未知TLD/新規登録ドメインの制限、TLS検査のポリシーベース適用。
- EDR/AV:メモリ内ロード、反射型ローディング、LOLBins(PowerShell, rundll32)の不審挙動検知を強化。画像拡張子(.bmp)経由の異常サイズ/通信頻度のアラート。
- アイデンティティ:MFA、条件付きアクセス(デバイス準拠・リスクベース)、外部なりすまし検知(表示名/連絡先の検証ワークフロー)。
- ユーザー教育:Teamsでのコマンド実行誘導は拒否、IT部門承認前にPowerShellを実行しない、外部からの急を要する依頼の検証手順。
📌 SOC視点
- Windowsログ:4688(プロセス作成、powershell.exeの-EncodedCommand/-WindowStyle Hidden、IEX/FromBase64String)、PowerShell 4104(Script Block Logging)、4103(モジュール)、AMSIテレメトリ。
- Sysmon:Event ID 1(ProcessCreate)、3(NetworkConnect:powershell.exe→外部80/443)、7(ImageLoaded:不審DLL/.NET)、11(FileCreate:異常なBMP/一時ファイル)、22(DNS Query:kupaoquan[.]com)。
- ネットワーク/プロキシ:BMP拡張子へのGET/POST、短時間での連続アクセス、SNI/JA3の異常、初観測ドメインへの長時間ビーコン。
- M365監査:Teams外部メッセージ、外部ユーザーからのリンク/ファイル共有事象、DLPヒット。
- ハンティング仮説:画像ダウンロード直後のメモリ高頻度API(VirtualAlloc/WriteProcessMemory相当の挙動)、PowerShellからの.NET Assembly.Load、CLIPBOARD/Teams連携の不自然な利用。
- 初動対応:端末隔離、メモリダンプとEDRタイムライン確保、関連チャネルのメッセージ凍結、IoCブロック、同一テナント内横展開の確認。
📈 MITRE ATT&CK
- Initial Access – T1566.003(Spearphishing via Service):Teamsなりすましでサービス上のフィッシングを実施。
- User Execution – T1204(User Execution):ユーザーにPowerShell実行を促す社会工学。
- Execution – T1059.001(Command and Scripting Interpreter: PowerShell):PowerShellでローダ/ダウンローダ実行。
- Defense Evasion – T1027.003(Obfuscated/Compressed Files and Information: Steganography):BMPにペイロードを隠蔽。
- Defense Evasion – T1140(Deobfuscate/Decode Files or Information):画像からの復号・抽出で実施。
- Command and Control – T1071.001(Application Layer Protocol: Web Protocols):HTTP/HTTPSでC2に接続。
- Command and Control/Resource Development – T1105(Ingress Tool Transfer):外部サーバから次段階スクリプトを取得。
- Execution/Defense Evasion – T1620(Reflective Code Loading):シェルコード/エージェントをメモリに直接読み込み。
🏢 組織規模別助言
- 小規模(〜50名):外部Teams連絡の既定拒否とホワイトリスト運用、EDRのマネージドサービス活用、PowerShell実行を管理者のみに限定。
- 中規模(50〜500名):AppLocker/WDACでスクリプト実行制御、プロキシで未知ドメイン・画像拡張子経由の不審通信検知、M365 DLPとSafe Links/Attachments併用、IRプレイブック整備。
- 大規模(500名以上):条件付きアクセス+デバイス準拠必須、テナント間外部連携のゼロトラスト分離、脅威ハンティング定常化(KQL/EDRクエリ)、画像ステガノ検知のML/サンドボックス投入、レッドチーム演習でのC2模擬を年次実施。
🔎 類似事例
- 正規レッドチームC2(Cobalt Strike/Brute Ratel/Sliver/Mythic)の悪用事案(2022〜2024年の複数業種)。
- Microsoft Teamsを用いたなりすまし・フィッシング(2023年以降に複数の警告・調査レポート)。
- 画像ファイル(BMP/PNG)を用いたステガノグラフィでのペイロード隠蔽とメモリ実行の組み合わせ。
注:本件は公開レポートに基づく事実関係の要約であり、特定CVEの悪用は確認されていません(CVE/CVSS該当なし)。
🧭 次の一手
- 自社テナントでの外部Teams通信ポリシーを即時点検し、許可ドメイン制御と警告ラベルを有効化。
- EDR/Windows/PowerShellログの収集設定(4104/4103/4688、Sysmon 1/3/11/22)を確認し、IoC(kupaoquan[.]com)でハンティング。
- PowerShell実行制御(CLM、AppLocker/WDAC)の段階的適用と例外申請フローの確立。
- 経営・法務を含むIRプレイブックに「コラボ基盤経由の侵入」シナリオを追加し、机上演習を実施。
- 次は「PowerShell防御ハードニング実践ガイド」「Teams外部連携の安全設定チェックリスト」「ATT&CKマッピングから作るSOC検知強化」の順で読み進めてください。
