Эксперты по кибербезопасности выявили новую кампанию по распространению вредоносного ПО Oyster, где злоумышленники используют поддельное приложение Microsoft Teams в качестве вектора доставки. Отчет фокусируется на технических деталях доставки и показателях выполнения, которые имеют ключевое значение для охотников за угрозами и аналитиков разведки.
«Вредоносное ПО Oyster было идентифицировано как поставляемое с помощью поддельного приложения Microsoft Teams.»
Способ доставки
Основной механизм доставки — поддельное приложение Microsoft Teams, распространяемое через специфический URL-параметр: teams-install.icu. Этот домен/параметр служит маркером кампании и должен рассматриваться как приоритетный для блокировки и расследования.
Аналитикам рекомендуется использовать инструменты вроде urlscan для сбора дополнительных артефактов и динамического анализа подозрительных URL. urlscan помогает фиксировать сетевые запросы, ответ сервера и связанные ресурсы, что важно для извлечения дальнейших индикаторов компрометации.
Показатели выполнения и ключевые индикаторы (IOCs)
Краткий перечень основных индикаторов, которые следует отслеживать:
- Домен/параметр доставки: teams-install.icu
- Наличие строкового маркера при выполнении: oyster — используется для определения запуска вредоносного кода
- Создание запланированной задачи: CaptureService — её появление является критическим маркером заражения
- Hash ответа, задействованный в командно‑контрольных коммуникациях (C2) — аналитикам следует извлечь и сопоставить этот hash для поиска дополнительных соединений и связанных артефактов
Рекомендации для обнаружения и расследования
- Используйте urlscan и аналогичные сервисы для индексирования подозрительных URL и получения копий ответов сервера.
- Ищите в логах и на конечных точках появление строки oyster в процессах, параметрах запуска и конфигурационных файлах.
- Мониторьте создание и изменение запланированных задач, уделяя особое внимание задачам с именем CaptureService.
- Извлекайте HTTP/HTTPS-ответы от подозрительных C2-соединений и рассчитывайте их hash — это важный артефакт для корреляции инцидентов.
- Блокируйте на периферии и в DNS доступ к teams-install.icu и связанным доменам, пока не закончится расследование.
- Разработайте правила обнаружения (YARA, Sigma, EDR‑правила) по характерным строкам, именам задач и сетевым признакам.
Практические шаги при подозрении на компрометацию
- Изолируйте подозреваемую систему и сохраните память и образ диска для последующего анализа.
- Соберите артефакты: списки запланированных задач, лог Windows Task Scheduler, процессы, сетевые подключения и дампы сетевого трафика.
- Проверьте SIEM/лог-репозиторий на события, связанные с oyster и созданием CaptureService.
- Сопоставьте извлеченный hash ответа с внутренними и открытыми базами IOC для выявления связанных семей и инфраструктуры C2.
- Уведомьте команду по реагированию на инциденты и при необходимости начните процедуру восстановления по утвержденному плану.
Заключение
Кампания по распространению Oyster через поддельное приложение Microsoft Teams демонстрирует хорошо подготовленный вектор доставки и характерные признаки выполнения, которыми можно эффективно воспользоваться при обнаружении. Фокус на параметрах доставки (teams-install.icu), строковом маркере выполнения (oyster), создании задачи (CaptureService) и анализе hash‑ответов C2 даст аналитикам возможность быстрее выявлять и кореллировать компрометации. Оперативное применение инструментов вроде urlscan, внедрение детекторов и блокировка подозрительных доменов уменьшат риск дальнейшего распространения и ущерба.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Oyster: вредоносное ПО через фальшивый Microsoft Teams (teams-install.icu)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.