牡蛎装载机通过模仿 PuTTY、WinSCP 和 AI 工具的虚假软件站点进行部署。此 C++ 加载程序使用四个混淆阶段来删除 Rhysida 勒索软件或 Vidar 窃取程序等有效负载。 Rapid7 于 2024 年 6 月首次发现,现在它通过签名的 MSI 文件攻击用户。
攻击者首先将加载器隐藏在TextShell加壳器中。第二阶段在系统检查(例如进程计数)后运行自定义 shellcode。它致电 HTTPS C2 服务器以获取订单。隐写术将下一个有效负载打包到“endico”标记之后的图标图像中。
具有硬编码密钥的 RC4 可解密隐藏的 DLL。该 DLL 登陆 AppData 并每 13 分钟安排一次任务以实现持久性。基于非标准 Base64 的自定义 JSON 改变了流量分析。反沙箱技巧包括 API 锤击和时间延迟。
Sekoia 将其与 Rhysida 联系起来,链接至 WIZARD SPIDER。该组织使用两层 C2:首先是交付服务器,然后是最终控制。不断发展的代码胜过安全工具。
塞科亚报道:“OysterLoader 维护两层 C2 基础设施……交付服务器处理初始连接,而最终 C2 服务器管理受害者交互。”关于规避:“高级反分析,包括 API 锤击、通过自定义哈希进行动态 API 解析以及基于时间的沙箱检测。”
Rapid7 指出:“OysterLoader 伪装成合法的 MSI 文件,通常经过数字签名……通过冒充 PuTTY、WinSCP、Google Authenticator 的虚假网站分发。”
感染阶段表
| 阶段 | 方法 | 回避策略 |
|---|---|---|
| 1 | TextShell加壳器 | 最初的伪装 |
| 2 | Shellcode 检查 | 进程数(60+)、计时 |
| 3 | 图像隐写术 | “endico”之后的 RC4 图标 |
| 4 | DLL+计划任务 | AppData,运行 13 分钟 |
关联威胁
- 主要:Rhysida 勒索软件活动。
- 替代者:Vidar infostealer(2026 年 1 月排名第一)。
- 运营商:巫师蜘蛛星云。
关键能力
- 勒索软件或窃取者的有效负载灵活性。
- 通过哈希进行动态 API 解析。
- 通过任务坚持。
- 带转换的自定义 Base64/JSON C2。
防御行动
阻止假冒软件域。从不受信任的来源扫描 MSI。观看 AppData DLL 和 13 分钟任务。监控新 C2 IP 的 HTTPS。
| 检测焦点 | 指标 | 工具 |
|---|---|---|
| 网络 | 自定义 Base64 流量 | Wireshark、Zeek |
| 坚持 | AppData DLL、任务 | 自动运行 |
| 图片 | “endico”标记 | 字符串、steg 工具 |
| 流程 | RC4解密 | 系统监控EDR |
FAQ
什么是 OysterLoader?
多阶段 C++ 加载程序,具有用于勒索软件交付的隐写术和反分析功能。
它如何隐藏有效负载?
图标图像中的隐写术,在“endico”标记后进行 RC4 加密。
哪个勒索软件使用它?
Rhysida,与 WIZARD SPIDER 绑定;也是维达尔盗贼。
如何发现感染?
AppData DLL、13 分钟的任务、奇怪的 HTTPS C2 流量。
初级分布?
PuTTY、WinSCP、带有签名 MSI 的 AI 工具的虚假站点。