Oyster: вредоносное ПО через фальшивый Microsoft Teams (teams-install.icu)

Эксперты по кибербезопасности выявили новую кампанию по распространению вредоносного ПО Oyster, где злоумышленники используют поддельное приложение Microsoft Teams в качестве вектора доставки. Отчет фокусируется на технических деталях доставки и показателях выполнения, которые имеют ключевое значение для охотников за угрозами и аналитиков разведки.

«Вредоносное ПО Oyster было идентифицировано как поставляемое с помощью поддельного приложения Microsoft Teams.»

Способ доставки

Основной механизм доставки — поддельное приложение Microsoft Teams, распространяемое через специфический URL-параметр: teams-install.icu. Этот домен/параметр служит маркером кампании и должен рассматриваться как приоритетный для блокировки и расследования.

Аналитикам рекомендуется использовать инструменты вроде urlscan для сбора дополнительных артефактов и динамического анализа подозрительных URL. urlscan помогает фиксировать сетевые запросы, ответ сервера и связанные ресурсы, что важно для извлечения дальнейших индикаторов компрометации.

Показатели выполнения и ключевые индикаторы (IOCs)

Краткий перечень основных индикаторов, которые следует отслеживать:

• Домен/параметр доставки: teams-install.icu
• Наличие строкового маркера при выполнении: oyster — используется для определения запуска вредоносного кода
• Создание запланированной задачи: CaptureService — её появление является критическим маркером заражения
• Hash ответа, задействованный в командно‑контрольных коммуникациях (C2) — аналитикам следует извлечь и сопоставить этот hash для поиска дополнительных соединений и связанных артефактов

Рекомендации для обнаружения и расследования

• Используйте urlscan и аналогичные сервисы для индексирования подозрительных URL и получения копий ответов сервера.
• Ищите в логах и на конечных точках появление строки oyster в процессах, параметрах запуска и конфигурационных файлах.
• Мониторьте создание и изменение запланированных задач, уделяя особое внимание задачам с именем CaptureService.
• Извлекайте HTTP/HTTPS-ответы от подозрительных C2-соединений и рассчитывайте их hash — это важный артефакт для корреляции инцидентов.
• Блокируйте на периферии и в DNS доступ к teams-install.icu и связанным доменам, пока не закончится расследование.
• Разработайте правила обнаружения (YARA, Sigma, EDR‑правила) по характерным строкам, именам задач и сетевым признакам.

Практические шаги при подозрении на компрометацию

• Изолируйте подозреваемую систему и сохраните память и образ диска для последующего анализа.
• Соберите артефакты: списки запланированных задач, лог Windows Task Scheduler, процессы, сетевые подключения и дампы сетевого трафика.
• Проверьте SIEM/лог-репозиторий на события, связанные с oyster и созданием CaptureService.
• Сопоставьте извлеченный hash ответа с внутренними и открытыми базами IOC для выявления связанных семей и инфраструктуры C2.
• Уведомьте команду по реагированию на инциденты и при необходимости начните процедуру восстановления по утвержденному плану.

Заключение

Кампания по распространению Oyster через поддельное приложение Microsoft Teams демонстрирует хорошо подготовленный вектор доставки и характерные признаки выполнения, которыми можно эффективно воспользоваться при обнаружении. Фокус на параметрах доставки (teams-install.icu), строковом маркере выполнения (oyster), создании задачи (CaptureService) и анализе hash‑ответов C2 даст аналитикам возможность быстрее выявлять и кореллировать компрометации. Оперативное применение инструментов вроде urlscan, внедрение детекторов и блокировка подозрительных доменов уменьшат риск дальнейшего распространения и ущерба.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.