Многостадийный загрузчик OysterLoader: эволюция угрозы, ориентированной на Rhysida и коммерческие вредоносные программы

Механизм распространения OysterLoader остаётся традиционным: злоумышленники создают поддельные веб-сайты, имитирующие страницы загрузки легитимного программного обеспечения. Чаще всего маскировка осуществляется под IT-инструменты, например, клиенты PuTTY или WinSCP, а также под приложения для искусственного интеллекта. Пользователям предлагается загрузить установочный файл формата MSI, который часто имеет цифровую подпись для внешней легитимности.

Инфекционная цепочка OysterLoader состоит из четырёх последовательных стадий, каждая из которых выполняет определённую задачу. Первая стадия представляет собой обфускатор, основная цель которого - затруднить анализ. Для этого используются методы, известные как API hammering (беспорядочные вызовы легитимных функций Windows) и динамическое разрешение API через собственный алгоритм хеширования. Простой антиотладочный механизм, основанный на функции IsDebuggerPresent, завершает набор примитивных, но эффективных техник противодействия исследованию. Основная задача этой стадии - подготовить и загрузить в память следующую стадию.

Вторая стадия реализована в виде шеллкода. Её ключевой особенностью является использование нестандартной реализации алгоритма сжатия LZMA. Кастомный заголовок и модифицированный битовый поток данных делают невозможным распаковку стандартными утилитами, что является целенаправленной мерой против автоматического анализа системами защиты. После декомпрессии шеллкод выполняет релокацию адресов в распакованном коде и передаёт управление следующему этапу.

Третья стадия действует как загрузчик промежуточной полезной нагрузки. Она проводит базовые проверки окружения, например, подсчитывает количество запущенных процессов, и устанавливает первичное соединение с командным сервером (C2). Коммуникация осуществляется по HTTPS, причём трафик маскируется под легитимный веб-запрос. Интересной особенностью является способ доставки следующей стадии: сервер отвечает файлом в формате ICO (иконки), внутри которого с помощью стеганографии скрыт зашифрованный полезный груз. Для его извлечения и расшифровки используется алгоритм RC4 с фиксированным ключом. Расшифрованный модуль, DLL-библиотека, сохраняется на диск и регистрируется для автозапуска через планировщик задач Windows.

Четвёртая, финальная стадия, является ядром загрузчика. Её основная функция - установка устойчивого канала связи с C2 для получения команд и дополнительных вредоносных модулей. Протокол общения постоянно эволюционирует. В последних наблюдаемых версиях используется трёхуровневая схема взаимодействия с сервером через эндпоинты /api/v2/init, /api/v2/facade и динамически задаваемый URL для маячков. Для кодирования передаваемых данных применяется кастомный алгоритм на основе Base64 с нестандартным алфавитом и случайным сдвигом для каждого сообщения, что серьёзно затрудняет анализ сетевого трафика.

Инфраструктура OysterLoader также имеет двухуровневую архитектуру. Первый уровень - серверы доставки, которые раздают вторую и третью стадии. Второй уровень - непосредственно командные серверы, управляющие скомпрометированными хостами. Постоянное обновление URL-адресов и форматов данных на C2-серверах указывает на высокую активность разработчиков угрозы.

Таким образом, OysterLoader представляет собой технически сложный и постоянно развивающийся загрузчик. Его многостадийная архитектура, сочетающая как простые, так и продвинутые методы обфускации и противодействия анализу, делает его эффективным инструментом в руках злоумышленников, связанных с ransomware-кампаниями и распространением коммерческого вредоносного ПО. Эксперты ожидают, что эта угроза сохранит свою актуальность в ближайшем будущем.

URLs

• http://nucleusgate.com/api/v2/facade
• https://cardlowestgroup.com/api/v2/facade
• https://coretether.com/api/v2/facade
• https://grandideapay.com/api/v2/facade
• https://registrywave.com/api/v2/facade
• https://socialcloudguru.com/api/v2/facade