Morphisec предотвратилa стеганографическую атаку Tuoni
В октябре 2025 года платформа защиты от программ‑вымогателей Morphisec предотвратила продвинутую кибератаку, нацеленную на крупную американскую фирму по недвижимости. Атака, предположительно начавшаяся в середине октября, отличалась сочетанием социальной инженерии и скрытых техник доставки полезной нагрузки — что делает её важным кейсом для оценки современных угроз и уязвимостей в корпоративных средах.
Как развивалась атака
Первый этап — влияние человека: злоумышленники, судя по данным, использовали тактику социальной инженерии, в частности имперсонацию в Microsoft Teams, чтобы убедить сотрудников выполнить вредоносные действия или открыть заражённый ресурс. Этот канал оставляет много возможностей для обхода периметровых средств защиты через доверительные коммуникации.
Второй этап демонстрирует высокую техническую изощрённость — злоумышленники загрузили скрипт «update-web-kupaoquan.com.ps1», который применил стеганографию: основная полезная нагрузка была скрыта внутри на вид безобидного файла изображения BMP с именем «bg-engine.bmp». Такой подход позволяет не только маскировать вредоносный код, но и избегать сигнатурного обнаружения при анализе файлов.
Tuoni: модульная платформа постэксплуатации
В основе атаки лежала платформа управления Tuoni (C2) — модульный инструмент постэксплуатации, взаимодействующий по HTTP, HTTPS и SMB. Tuoni поддерживает широкий спектр собственных команд, что облегчает управление агентами и проведение дальнейших манипуляций в скомпрометированной среде.
- Tuoni — модульная, расширяемая платформа C2;
- поддерживает разнообразные протоколы коммуникации: HTTP, HTTPS, SMB;
- имеет богатый набор команд для постэксплуатации;
- находится в свободном доступе и хорошо документирован — что способствует массовому распространению среди злоумышленников.
Появление и активное распространение Tuoni — тревожный сигнал: свободно доступные, документированные фреймворки позволяют быстрому внедрению аффилированных групп, в том числе для последующего развертывания программ‑вымогателей.
Технологические тренды и проблемы средств защиты
Анализ инцидента подчёркивает несколько ключевых тенденций:
- Стеганография в цепочках доставки вредоносного ПО. Использование изображений и других носителей для скрытия кода делает детекцию более сложной и снижает эффективность сигнатурных сканеров.
- Динамическое делегирование и fileless‑техники. Атаки в памяти и отражающие атаки затрудняют работу традиционных антивирусов и решений EDR.
- AI‑подходы к доставке вредоносного ПО. Методы, сочетающие стеганографию с динамическим делегированием и элементами автоматизации на базе AI, становятся всё более вероятной нормой для загрузчиков.
В результате современные средства защиты сталкиваются с необходимостью комбинировать уровни обнаружения: от анализа поведенческих аномалий и контроля вызовов в рантайме до сетевого мониторинга и корреляции событий, чтобы своевременно обнаруживать многоступенчатые и полиморфные кампании.
Выводы и рекомендации
Инцидент — наглядный пример того, как сочетание социальной инженерии и продвинутых технических приёмов может поставить под угрозу крупные организации. Ключевые выводы и практические рекомендации:
- Повышать уровень обучения сотрудников по распознаванию имперсонации и фишинга в мессенджерах и платформах совместной работы (включая Microsoft Teams).
- Использовать многоуровневую стратегию защиты: предотвращение выполнения (runtime prevention), контроль поведения процессов, сетевое выявление аномалий и мониторинг SMB/HTTP/HTTPS‑трафика.
- Внедрять механизмы детекции стеганографии и аномалий в загружаемых мультимедиа; обращать внимание на нестандартное использование BMP и других форматов изображений.
- Ограничивать возможности C2‑коммуникаций через сегментацию сети, блокировку подозрительных внешних соединений и анализ DNS/HTTP запросов.
- Применять защитные решения, способные блокировать атаки в рантайме и предотвращать исполнение отражающих и fileless‑методов, подобно тем, которые использовала Morphisec в данном случае.
- Отслеживать использование публичных и документированных фреймворков, таких как Tuoni, и готовиться к их возможному широкому распространению среди злоумышленников.
«Сочетание человеческого фактора и новых технических приёмов делает современные кибератаки особенно опасными — защита должна быть как проактивной, так и адаптивной», — следует понимать из этого кейса.
Инцидент октября 2025 года — напоминание о том, что кибербезопасность в корпоративной среде требует постоянной эволюции: от обучения пользователей до внедрения современных средств предотвращения атак в рантайме и глубокой сетевой аналитики.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



