概要
OysterLoader は、マルウェアとして知られ、Broomstick や CleanUp の別名でも呼ばれる。このマルウェアは C++ 言語で書かれ、Rhysida ランサムウェアグループに関連するキャンペーンで活用されている。
OysterLoader の感染チェーン
セキュリティ研究者は、OysterLoader が Rhysida オペレーターによって開発され、偽のコード署名証明書や悪意のある広告インフラストラクチャを使用して再びキャンペーンを開始していると報告しています。
ステージ1:パッカー/オブスキュレーション
OysterLoader の最初のステージは、合法的な呼び出しと共に悪意のあるコードをカプセル化し、メモリ内の「シャッフル」されたブロブから次のステージを読み込みます。また、Windows API 呼び出しを使用して静的および動的エンジンを混乱させる。
ステージ2:シェルコード
このステージは、最初のステージからの共有「コア」構造を消費し、カスタム LZMA 類似の圧縮解除ルーチンに即座に移行します。
ステージ3:ダウンローダーと環境検査
OysterLoader の第 3 ステージは、言語やプロセス数をチェックし、最初の C2 レイヤーと通信します。以前のバリアントでは HTTPS エンドポイントを使用していましたが、最近では plain-HTTP C2 プロトコルを使用しています。
Rhysida ランサムウェア
最終ステージは DLL コアとして実装され、plain-HTTP C2 プロトコルを介して複数のハードコーディングされた IP と通信します。また、/api/v2/facade をホストするドメインが現在アクティブであることが確認されています。
防御者のための対策
OysterLoader の進化は、非信頼ソースからの署名付き MSI インストーラーを監視し、異常な GDI/API ハマリング動作を検出する必要性を強調しています。