Tuoni C2 Çerçevesi ve 2025 Gayrimenkul Siber Saldırısı
2025 yılının ortalarında, büyük bir ABD merkezli gayrimenkul şirketine yönelik gerçekleştirilen siber saldırı, siber güvenlik araştırmacıları tarafından detaylı bir şekilde açıklandı. Bu saldırıda, Tuoni adında yeni bir komut-kontrol (C2) çerçevesi kullanıldı. Morphisec uzmanı Shmuel Uzan, saldırının detaylarına dair önemli bilgiler paylaştı.
Tuoni C2 Nedir?
Tuoni, güvenlik profesyonelleri için tasarlanmış, önemli ölçüde gelişmiş bir C2 çerçevesidir. Penetrasyon testleri, kırmızı takım etkinlikleri ve güvenlik değerlendirmeleri gibi işlemleri kolaylaştırmak amacıyla geliştirilmiştir. Kullanıcılar için “Topluluk Sürümü” adı verilen ücretsiz bir versiyonu GitHub’dan indirilebilir. İlk kez 2024’ün başında piyasaya sürülen Tuoni, siber güvenlik araçlarında yenilikçi bir yaklaşım sergilemektedir.
Saldırının Ayrıntıları
Morphisec’e göre, saldırı Ekim 2025 ortalarında gerçekleşti. Bilgiler, saldırganların Microsoft Teams üzerinden sosyal mühendislik tekniklerini kullanarak ilk erişimi sağladığını göstermektedir. Saldırganlar, şirket çalışanlarını yanıltarak güvenilir birer tedarikçi veya iş arkadaşı gibi davrandılar ve bir PowerShell komutu çalıştırmaya ikna ettiler.
PowerShell Komutu ve Yükleme Süreci
Yürütülen PowerShell komutu, “kupaoquan[.]com” adresinden ikinci bir PowerShell betiği indirdi. Bu betik, yüklemenin sonraki aşamasını gizlemek amacıyla bir bitmap görüntüsünü (BMP) steganografik tekniklerle kullandı. Yüklemenin ana hedefi, gömülü yükü kullanarak shellcode’u çıkartmak ve bunu doğrudan bellekte çalıştırmaktı.
Bu işlem sonucunda “TuoniAgent.dll” dosyası yürütüldü. Bu dosya, hedeflenen makine içinde çalışan bir ajan olarak görev yaptı ve ayrıca uzaktan kontrol sağlamak amacıyla C2 sunucusuna bağlandı.
AI Destekli Saldırı Yöntemleri
Saldırının ilgi çekici bir yönü, Tuoni’nin kendi içinde karmaşık bir yapı sunmasına rağmen, teslimat mekanizmasının AI desteğiyle güçlendirildiği tespit edilmiştir. Bu durum, kodlama sürecinde kullanılan betik yorumları ve ilk yükleyicinin modüler yapısından kaynaklandığı düşünülmektedir.
Sonuç ve Siber güvenlik Uyarıları
Bu saldırı, sonuçlanmış olmasına rağmen, kötü niyetli amaçlar için kırmızı takım araçlarının nasıl kötüye kullanılabileceğini göstermektedir. Ayrıca, siber güvenlik alanında meydana gelen gelişmeler sürekli olarak siber tehditlerini de evrim geçirmekte ve daha karmaşık hale getirmektedir. 2025 Eylül’ünde Check Point, HexStrike AI adında bir yapay zeka destekli aracın hızla ve basit bir şekilde güvenlik açıklarını istismar etmek için kullanıldığını açıklamıştır.
Bu tür saldırılar, siber güvenlik alanında alınacak önlemleri artırma gerekliliğini bir kez daha gözler önüne seriyor. Şirketlerin güvenlik altyapılarını güçlendirmek ve çalışanlarını bilinçlendirmek için sürekli eğitim ve güncel teknolojilerle donatılmış sistemler oluşturmaları büyük öneme sahiptir.
