Летние месяцы, традиционно считающиеся периодом снижения деловой активности, стали временем для изощренных кибератак. Группа угрозы Oyster, известная с 2024 года, запустила новую кампанию, нацеленную на технических специалистов через компрометированные сайты и облачную инфраструктуру. По данным исследования Cato CTRL Threat Research, обновленный загрузчик демонстрирует опасную эволюцию в методах доставки, маскировки и устойчивости.
Описание
Целенаправленная ловушка для администраторов
В июле 2025 года злоумышленники использовали поддельный домен putty.[us].[com], имитирующий официальный ресурс популярного SSH-клиента PuTTY. Вместо легитимного ПО пользователи скачивали троянизированный установщик с взломанного сайта риелторского агентства. Ключевая особенность атаки - переход на узкую аудиторию: если в 2024 году Oyster распространялся через поддельные страницы загрузки Microsoft Teams для массовой аудитории, то теперь он ориентирован на системных администраторов и инженеров, использующих специализированные инструменты.
Техническая эволюция загрузчика
Сравнительный анализ Cato MDR выявил значительные изменения в работе Oyster:
- Модульная доставка: вместо встраивания вредоносных компонентов в установщик (как в 2024-м), загрузчик 2025 года использует InternetOpenW для получения DLL-библиотеки (twain_96.dll) с облачного CDN по жестко заданному IP-адресу 45[.]86[.]230[.]77.
- Усовершенствованное уклонение от защиты: добавлены сотни "пустых" вызовов графических интерфейсов (GDI) - смена кистей, палитр, перьев - что создает "шум" для статического анализа EDR-систем. Библиотека также содержит мусорный код и ложные функции.
- Агрессивная устойчивость: после сохранения в случайную папку %APPDATA% вредонос создает задание в планировщике с запуском каждые 3 минуты через rundll32.exe. Для маскировки установщик выводит сообщение "Setup failed", имитируя сбой.
- Маскировка трафика: C2-коммуникации используют поддельные HTTP-заголовки, включая User-Agent "WordPressAgent", имитируя легитимные запросы CMS. Весь трафик маршрутизируется через облачные CDN.
Инфраструктура и последствия
Кампания сочетает несколько техник: домены с опечатками, отозванные сертификаты (например, "Alternative Power Systems Solutions LLC"), взломанный WordPress-сайт. После установки загрузчик передает на C2-сервер отпечатки системы в JSON-формате. Исторические данные указывают на последующую доставку ransomware Rhysida, хотя в текущей кампании эта стадия не наблюдалась.
Защита и выводы
Cato Networks отмечает блокировку атак своими сетевыми механизмами NGAM до выполнения полезной нагрузки. Ключевые индикаторы для обнаружения включают частые (каждые 3 минуты) вызовы rundll32.exe, нестандартные User-Agent, подключения к фиксированным IP и использование LOLBins (conhost.exe).
Эксперты подчеркивают: Oyster не применяет zero-day уязвимости. Его эффективность основана на социальной инженерии (доверие к PuTTY), эксплуатации сезонной невнимательности и мимикрии под легитимный облачный трафик. Это сигнализирует о сдвиге в тактике - от массовых атак к точечным, где техническая подготовка жертвы не является препятствием, а фактором риска.
Кампания остается активной по состоянию на август 2025 года. Специалистам рекомендовано проверять источники загрузки административных инструментов и мониторить аномальную активность rundll32.exe.
Индикаторы компрометации
IPv4
- 45.86.230.77
Domains
- putty.us.com
- skyviberealty.com
SHA256
- 0bb664420f910961b579f5b9f9047d5d9de52f0bb06cd49e08747ecf9056f5d6
- e25db8020f7fcadaec5dd54dd7364d8eaa9efd8755fb91a357f3d29bf2d9fbad
