Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Rhysida: OysterLoader и Latrodectus — векторы первоначального доступа

3 мин
Новая аналитика показывает, что Rhysida ransomware gang применяет недавно выявленное вредоносное ПО OysterLoader в качестве инструмента первоначального доступа для компрометации высокоуровневых сетей. Злоумышленники комбинируют методы вредоносной рекламы с использованием поисковой сети Bing, перенаправляя пользователей на тщательно смастерённые вредоносные целевые страницы и маскируя реальные объекты атаки. Механизм кампании включает несколько этапов, направленных на увеличение вероятности успешного заражения: OysterLoader характеризуется продвинутыми методами упаковки и обфускации, что снижает вероятность детектирования при первом контакте с угрозой. Упаковка скрывает функциональность загрузчика и препятствует статическому анализу, а бэкдор обеспечивает устойчивый удалённый доступ к скомпрометированным системам. Помимо OysterLoader, в кампании выявлено и другое вредоносное ПО — Latrodectus, используемое также для первоначального проникновения. Анализ показал, что для экземпляров обоих
Оглавление

Новая аналитика показывает, что Rhysida ransomware gang применяет недавно выявленное вредоносное ПО OysterLoader в качестве инструмента первоначального доступа для компрометации высокоуровневых сетей. Злоумышленники комбинируют методы вредоносной рекламы с использованием поисковой сети Bing, перенаправляя пользователей на тщательно смастерённые вредоносные целевые страницы и маскируя реальные объекты атаки.

Как организовано распространение

Механизм кампании включает несколько этапов, направленных на увеличение вероятности успешного заражения:

  • покупка поисковой рекламы в Bing для попадания в рациональные поисковые результаты;
  • перенаправление на убедительно оформленные целевые страницы, которые имитируют легитимные ресурсы;
  • использование в приманке фирменного программного обеспечения — в частности Microsoft Teams, а также известных приложений (PuTTY, Zoom и др.);
  • загрузка и запуск OysterLoader, который развёртывает бэкдор на скомпрометированных машинах.

Технические особенности вредоносного ПО

OysterLoader характеризуется продвинутыми методами упаковки и обфускации, что снижает вероятность детектирования при первом контакте с угрозой. Упаковка скрывает функциональность загрузчика и препятствует статическому анализу, а бэкдор обеспечивает устойчивый удалённый доступ к скомпрометированным системам.

Помимо OysterLoader, в кампании выявлено и другое вредоносное ПО — Latrodectus, используемое также для первоначального проникновения. Анализ показал, что для экземпляров обоих семейств вредоносов применялись одни и те же сертификаты подписи кода, что указывает на скоординированный и многоступенчатый подход злоумышленников к поддержанию доступа.

Роль сертификатов подписи кода

Ключевой особенностью кампании является использование сертификатов подписи кода. Исследователи зафиксировали несколько характерных моментов:

  • сертификаты, применяемые Rhysida ransomware gang, часто отзываются органами, выдавшими их, — такой отзыв служит индикатором начала новых кампаний;
  • некоторые сертификаты имеют срок действия всего 72 часа, что осложняет традиционные схемы купли/продажи сертификатов, но не мешает злоумышленникам извлекать выгоду из системы;
  • группа сумела обойти часть ограничений механики доверенной подписи Microsoft, эффективно подписывая вредоносные исполняемые файлы и снижая уровень подозрительности при запуске на целевых системах.
«Связь между экземплярами OysterLoader и Latrodectus через одни и те же сертификаты указывает на намеренное использование нескольких штаммов для закрепления доступа», — отмечают аналитики.

Последствия и оценка угрозы

Комбинация таргетинга через поисковую рекламу, подписанных бинарников и многоступенчатых загрузчиков делает кампанию особенно опасной для корпоративных сред. Низкая детектируемость на ранних стадиях и использование легитимных каналов распространения повышают вероятность успешной компрометации конечных точек и дальнейшего проникновения в сеть организации.

Рекомендации для защиты

Для минимизации рисков организациям и специалистам по безопасности рекомендуется:

  • усилить мониторинг входящего трафика и кампаний поисковой рекламы, особенно по запросам, связанным с загрузками ПО;
  • внедрить детекцию подозрительных установщиков и поведения загрузчиков на эндпойнтах (behavioral detection, EDR);
  • ограничить выполнение неподписанных или недавно подписанных бинарников и применять политику whitelisting для критичных систем;
  • отслеживать и быстро реагировать на отзыв сертификатов подписи кода как на индикатор возможных кампаний;
  • образовывать пользователей о рисках загрузки ПО с непроверенных источников, даже если ссылка пришла из результатов поиска;
  • публиковать и обмениваться показателями кампании (IOCs) на общедоступных платформах и в отраслевых разведсообществах для оперативного реагирования.

Вывод

Rhysida ransomware gang демонстрирует адаптивный и многоплановый подход: злоумышленники сочетают методы социальной инженерии через рекламу, продвинутые технические приёмы (упаковка, бэкдоры) и эксплуатацию процессов доверенной подписи для обхода защит. Постоянный мониторинг, обмен индикаторами и усиление контроля над исполнением подписанных бинарников — ключевые меры, которые помогут обнаруживать и нейтрализовать подобные кампании на ранних стадиях.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Rhysida: OysterLoader и Latrodectus — векторы первоначального доступа".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.