OysterLoader เป็นมัลแวร์โหลดเดอร์ที่ซับซ้อน ซึ่งเป็นภัยคุกคามสำคัญในภูมิทัศน์ของความปลอดภัยทางไซเบอร์ โดยใช้การซ่อนเร้นหลายชั้นเพื่อหลบเลี่ยงการตรวจจับและส่งเพย์โหลดที่เป็นอันตราย มัลแวร์ C++ นี้ถูกระบุครั้งแรกในเดือนมิถุนายน 2024 โดย Rapid7 และแพร่กระจายผ่านเว็บไซต์ปลอมที่แอบอ้างเป็นแอปพลิเคชันซอฟต์แวร์ที่ถูกต้อง เช่น PuTTy, WinSCP, Google Authenticator และเครื่องมือ AI ต่างๆ มัลแวร์นี้ปลอมแปลงเป็นไฟล์ Microsoft Installer (MSI) และมักจะมีการลงนามดิจิทัลเพื่อหลอกให้ดูเหมือนถูกต้องตามกฎหมาย ทำให้ผู้ใช้ที่ไม่สงสัยถูกหลอกได้ง่าย OysterLoader ได้รับการเชื่อมโยงกับการโจมตีของ Rhysida ransomware และมัลแวร์ทั่วไปอย่าง Vidar infostealer.
Severity: สูง
System Impact:
- ระบบปฏิบัติการ Windows (เป้าหมายหลักผ่านไฟล์ MSI และ DLL payload)
Technical Attack Steps:
- 1. การกระจาย: แพร่กระจายผ่านเว็บไซต์ปลอมที่แอบอ้างเป็นซอฟต์แวร์ที่ถูกต้อง (เช่น PuTTy, WinSCP, Google Authenticator, เครื่องมือ AI)
- 2. การติดเชื้อเริ่มต้น: ปลอมแปลงเป็นไฟล์ Microsoft Installer (MSI) ที่มีการลงนามดิจิทัลเพื่อเพิ่มความน่าเชื่อถือ
- 3. การหลบเลี่ยง (ขั้นที่ 1 – TextShell packer): ใช้ TextShell packer เพื่อซ่อนรหัสเริ่มต้น
- 4. การตรวจสอบสภาพแวดล้อม: ตรวจสอบสภาพแวดล้อมระบบ โดยต้องการอย่างน้อย 60 กระบวนการที่กำลังทำงานเพื่อหลีกเลี่ยงการตรวจจับ Sandbox
- 5. การส่งเพย์โหลด (ขั้นที่ 2 – Shellcode แบบกำหนดเอง): ดำเนินการผ่าน Shellcode แบบกำหนดเอง
- 6. การสื่อสาร C2 (เริ่มต้น): สร้างการสื่อสารกับโครงสร้างพื้นฐาน C2 แบบสองชั้นผ่าน HTTPS
- 7. Steganography: ซ่อนเพย์โหลดขั้นถัดไปในไฟล์ภาพไอคอน ปลอมแปลงเป็นเนื้อหาภาพที่ถูกต้อง
- 8. การถอดรหัสเพย์โหลด: ใช้การเข้ารหัส RC4 พร้อมคีย์ที่ฝังไว้เพื่อป้องกันเพย์โหลดที่ซ่อนอยู่หลังเครื่องหมาย ‘endico’
- 9. การดำเนินการและการคงอยู่: เพย์โหลดที่ถอดรหัสแล้วจะถูกเขียนเป็นไฟล์ DLL ไปยังไดเรกทอรี AppData ของผู้ใช้ และดำเนินการผ่าน Task Scheduler ทุก 13 นาที
- 10. การสื่อสาร C2 ขั้นสูง: ใช้การเข้ารหัส JSON แบบกำหนดเองด้วย Base64 alphabet ที่ไม่เป็นมาตรฐานและค่า Shift แบบสุ่มเพื่อทำให้การวิเคราะห์ทราฟฟิกเครือข่ายยากขึ้น
- 11. ความสามารถในการต่อต้านการวิเคราะห์: ใช้ API hammering, การแก้ไข API แบบไดนามิกผ่านอัลกอริทึมแฮชแบบกำหนดเอง และการตรวจจับ Sandbox โดยอิงตามเวลา
- 12. เพย์โหลดสุดท้าย: ส่ง Rhysida ransomware หรือมัลแวร์ทั่วไป เช่น Vidar infostealer
Recommendations:
Short Term:
- ระมัดระวังการดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ที่ไม่เป็นทางการหรือไม่น่าเชื่อถือ.
- ตรวจสอบลายเซ็นดิจิทัลของไฟล์ MSI อย่างละเอียดก่อนติดตั้ง.
- ใช้งานและอัปเดตโซลูชันความปลอดภัยปลายทาง (Endpoint Security Solutions) ที่มีคุณสมบัติการป้องกันหลายชั้น.
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับการระบุภัยคุกคามฟิชชิ่งและการปลอมแปลงเว็บไซต์.
Long Term:
- ติดตั้งระบบตรวจจับและตอบสนองต่อภัยคุกคามขั้นสูง (XDR/EDR) เพื่อตรวจจับพฤติกรรมที่ผิดปกติและซับซ้อน.
- ใช้โซลูชันการวิเคราะห์ทราฟฟิกเครือข่าย (Network Traffic Analysis) เพื่อเฝ้าระวังการสื่อสาร C2 ที่เข้ารหัสและไม่เป็นไปตามมาตรฐาน.
- อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และแอปพลิเคชันทั้งหมดให้เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่.
- พิจารณาใช้การควบคุมแอปพลิเคชัน (Application Whitelisting) เพื่อป้องกันการรันโค้ดและไฟล์ที่ไม่ได้รับอนุญาต.
- พัฒนากลยุทธ์และแผนการรับมือเหตุการณ์ (Incident Response Plan) ที่แข็งแกร่งสำหรับภัยคุกคามประเภท Loader และ Ransomware.
Source: https://cybersecuritynews.com/oysterloader-multi-stage-evasion-loader-uncovered/
Share this content: