OysterLoaderとして知られるマルチステージマルウェアローダーは、2026年初頭にかけて継続的に進化し、コマンド・アンド・コントロール(C2)インフラストラクチャと難読化方法を改良しています。
C++ベースの脅威であり、Broomstickおよびクリーンアップとも呼ばれるこの脅威は、主にRhysidaランサムウェアグループに関連するキャンペーンに関連付けられており、またVidarなどのコモディティマルウェアの配布にも使用されています。
2024年6月に最初に報告されたこのローダーは、通常、PuTTYおよびWinSCPなどの正当なITツールになりすましたフィッシングサイトを通じて配信されます。署名されたMicrosoft Installerファイルに偽装して到着し、4つの異なるステージに展開され、各ステージは分析と検出を阻害するように設計されています。
マルチステージ感染チェーン
Sekoia Securityによる新しいアドバイザリによると、OysterLoaderの最新の感染プロセスは次のように構成されています:
-
ステージ1:難読化されたシェルコードをメモリにロードするTextShellという既知のパッカー
-
ステージ2:修正されたLZMAルーチンを使用してコアペイロードを解凍するカスタムシェルコード
-
ステージ3:環境チェックを実行してC2接続を開始する中間ダウンローダー
-
ステージ4:コアペイロードで、多くの場合、永続的な実行用としてDLLとしてデプロイされます
マルウェアC2インフラストラクチャについてもっと読む:グローバルSystemBCボットネット、10,000台の感染システム全体で検出
第2ステージでは、マルウェアはカスタムLZMA解凍ルーチンを使用します。圧縮パラメータは標準のままですが、ヘッダーフォーマットとビットストリームが修正され、一般的なツールがペイロードを認識または抽出することが出来なくなります。解凍後、シェルコードはメモリ保護を調整し、動的にインポートを解決します。
動的API解決は、サンプル間でわずかに異なるカスタムハッシング・アルゴリズムを通じて処理されます。この可変性は静的検出とシグネチャベースの分析を複雑にします。
更新されたC2プロトコルおよびインフラストラクチャ
OysterLoaderは、偽造されたヘッダーと欺瞞的なユーザーエージェント文字列を使用してHTTPおよびHTTPSを介してC2サーバーと通信し、通常のウェブトラフィックに紛れ込みます。
以前のバージョンは登録とビーコンニング用に2つのエンドポイントに依存していました。しかし、最新の反復では、/api/v2/initへの空のGETリクエストで始まり、/api/v2/facadeへのフィンガープリント送信が続き、動的に割り当てられたエンドポイントへのビーコンニングで終わる3段階のプロセスが導入されました。
マルウェアは、非標準のBase64アルファベットと各メッセージ用に生成されたランダムシフト値を組み合わせてJSON通信をエンコードします。最近の更新により、サーバーが通信中に新しいエンコーディングアルファベットを提供することができ、トラフィック分析がさらに複雑になります。
2024年5月から2026年1月の間の複数のエンドポイント改訂は、継続的な開発努力を示しています。
「OysterLoaderのコードの継続的な進化(更新されたC2エンドポイントとJSONフィンガープリントスキーマを含む)は、脅威アクターから高レベルのアクティビティとコミットメントを示しています」とSekoiaは説明しました。
「マルウェアの開発品質と複雑さは、OysterLoaderが近い将来において重要で永続的な脅威であり続けることを強く示唆しています。」
翻訳元: https://www.infosecurity-magazine.com/news/oysterloader-new-c2-infrastructure/
