СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
04.11.2025
#ИБ

Rhysida: OysterLoader и Latrodectus — векторы первоначального доступа

Новая аналитика показывает, что Rhysida ransomware gang применяет недавно выявленное вредоносное ПО OysterLoader в качестве инструмента первоначального доступа для компрометации высокоуровневых сетей. Злоумышленники комбинируют методы вредоносной рекламы с использованием поисковой сети Bing, перенаправляя пользователей на тщательно смастерённые вредоносные целевые страницы и маскируя реальные объекты атаки.

Как организовано распространение

Механизм кампании включает несколько этапов, направленных на увеличение вероятности успешного заражения:

  • покупка поисковой рекламы в Bing для попадания в рациональные поисковые результаты;
  • перенаправление на убедительно оформленные целевые страницы, которые имитируют легитимные ресурсы;
  • использование в приманке фирменного программного обеспечения — в частности Microsoft Teams, а также известных приложений (PuTTY, Zoom и др.);
  • загрузка и запуск OysterLoader, который развёртывает бэкдор на скомпрометированных машинах.

Технические особенности вредоносного ПО

OysterLoader характеризуется продвинутыми методами упаковки и обфускации, что снижает вероятность детектирования при первом контакте с угрозой. Упаковка скрывает функциональность загрузчика и препятствует статическому анализу, а бэкдор обеспечивает устойчивый удалённый доступ к скомпрометированным системам.

Помимо OysterLoader, в кампании выявлено и другое вредоносное ПО — Latrodectus, используемое также для первоначального проникновения. Анализ показал, что для экземпляров обоих семейств вредоносов применялись одни и те же сертификаты подписи кода, что указывает на скоординированный и многоступенчатый подход злоумышленников к поддержанию доступа.

Роль сертификатов подписи кода

Ключевой особенностью кампании является использование сертификатов подписи кода. Исследователи зафиксировали несколько характерных моментов:

  • сертификаты, применяемые Rhysida ransomware gang, часто отзываются органами, выдавшими их, — такой отзыв служит индикатором начала новых кампаний;
  • некоторые сертификаты имеют срок действия всего 72 часа, что осложняет традиционные схемы купли/продажи сертификатов, но не мешает злоумышленникам извлекать выгоду из системы;
  • группа сумела обойти часть ограничений механики доверенной подписи Microsoft, эффективно подписывая вредоносные исполняемые файлы и снижая уровень подозрительности при запуске на целевых системах.

«Связь между экземплярами OysterLoader и Latrodectus через одни и те же сертификаты указывает на намеренное использование нескольких штаммов для закрепления доступа», — отмечают аналитики.

Последствия и оценка угрозы

Комбинация таргетинга через поисковую рекламу, подписанных бинарников и многоступенчатых загрузчиков делает кампанию особенно опасной для корпоративных сред. Низкая детектируемость на ранних стадиях и использование легитимных каналов распространения повышают вероятность успешной компрометации конечных точек и дальнейшего проникновения в сеть организации.

Рекомендации для защиты

Для минимизации рисков организациям и специалистам по безопасности рекомендуется:

  • усилить мониторинг входящего трафика и кампаний поисковой рекламы, особенно по запросам, связанным с загрузками ПО;
  • внедрить детекцию подозрительных установщиков и поведения загрузчиков на эндпойнтах (behavioral detection, EDR);
  • ограничить выполнение неподписанных или недавно подписанных бинарников и применять политику whitelisting для критичных систем;
  • отслеживать и быстро реагировать на отзыв сертификатов подписи кода как на индикатор возможных кампаний;
  • образовывать пользователей о рисках загрузки ПО с непроверенных источников, даже если ссылка пришла из результатов поиска;
  • публиковать и обмениваться показателями кампании (IOCs) на общедоступных платформах и в отраслевых разведсообществах для оперативного реагирования.

Вывод

Rhysida ransomware gang демонстрирует адаптивный и многоплановый подход: злоумышленники сочетают методы социальной инженерии через рекламу, продвинутые технические приёмы (упаковка, бэкдоры) и эксплуатацию процессов доверенной подписи для обхода защит. Постоянный мониторинг, обмен индикаторами и усиление контроля над исполнением подписанных бинарников — ключевые меры, которые помогут обнаруживать и нейтрализовать подобные кампании на ранних стадиях.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: