มัลแวร์ OysterLoader กลับมาอีกครั้ง! Rhysida ใช้ในการโจมตี Malvertising

Last updated: 6 Nov 2025

150 Views

สรุปข้อมูล

กลุ่มแรนซัมแวร์ Rhysida ได้มุ่งเป้าโจมตีองค์กรมานานแล้ว โดยเริ่มปฏิบัติการภายใต้ชื่อ Vice Society ในปี 2021 ก่อนจะรีแบรนด์เป็น Rhysida ในปี 2023 ถึงแม้การเปลี่ยนชื่ออาจเป็นความพยายามเบี่ยงเบนการสืบสวนของหน่วยงานบังคับใช้กฎหมาย แต่ผู้ป้องกันไม่ได้ลืมเพียงเพราะชื่อเปลี่ยนหรือเวลาผ่านไป เรากำลังติดตามแคมเปญปัจจุบันของ Rhysida ที่ใช้ malvertising เพื่อปล่อยมัลแวร์ OysterLoader โดยแคมเปญชุดแรกรันตั้งแต่พ.ค.ก.ย. 2024 และแคมเปญล่าสุดเริ่มตั้งแต่เดือนมิ.ย. ปีนี้

รายละเอียดการโจมตี

กลุ่ม Rhysida Ransomware ใช้กลยุทธ์ Malvertising บน Bing Search Ads เพื่อหลอกล่อให้เหยื่อดาวน์โหลดซอฟต์แวร์ปลอม เช่น Microsoft Teams, PuTTy และ Zoom
ผู้โจมตีซื้อโฆษณาแล้วชี้ไปยังหน้า Landing Page ปลอม ที่ออกแบบเหมือนของจริง เมื่อผู้ใช้คลิกดาวน์โหลดไฟล์ติดตั้ง จะได้ไฟล์ที่ฝังมัลแวร์ OysterLoader แทน
เมื่อติดตั้งและรันไฟล์ปลอม OysterLoader ทำหน้าที่เป็น Initial Access Tool เตรียมทางให้มัลแวร์ระยะถัดไป โดยใช้เทคนิค Packing และ Code-Signing เพื่อหลบเลี่ยงการตรวจจับ:
- Packing: บีบอัดหรือเข้ารหัสโค้ดภายใน ทำให้โปรแกรมป้องกันไวรัสวิเคราะห์ได้ยากขึ้น
- Code-Signing: ลงลายเซ็นดิจิทัลเพื่อให้ไฟล์ดูเหมือนซอฟต์แวร์ที่เชื่อถือได้
แม้ OysterLoader จะเป็นตัวโหลดขั้นต้น แต่ในหลายกรณี Rhysida ยังใช้มัลแวร์ตัวอื่น เช่น Latrodectus ร่วมกับแคมเปญเพื่อขยายการเข้าถึงเครือข่าย
OysterLoader จะเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุมเพื่อรับคำสั่งเพิ่มเติม เช่น ดาวน์โหลดเพย์โหลดขั้นต่อไป การที่ไฟล์ถูกลงลายเซ็นทำให้ทราฟฟิกของมัลแวร์ดูเหมือนการสื่อสารของซอฟต์แวร์ปกติ จึงยากต่อการตรวจจับ

ผลกระทบจากการโจมตี

เหตุการณ์นี้ส่งผลกระทบในวงกว้าง เนื่องจากกลุ่ม Rhysida Ransomware ใช้โฆษณาปลอมบน Bing Search Ads เพื่อกระจายมัลแวร์ OysterLoader ซึ่งทำให้ผู้ใช้ที่หลงเชื่อดาวน์โหลดไฟล์ปลอม เช่น Microsoft Teams หรือ PuTTy ตกเป็นเหยื่อโดยไม่รู้ตัว เมื่อรันไฟล์ มัลแวร์จะสร้างช่องทางเข้าระบบและเชื่อมต่อกับ C2 เพื่อรับคำสั่งเพิ่มเติม อาจนำไปสู่การติดตั้ง Ransomware หรือ Backdoor ในเครื่อง

สรุปการโจมตี

การโจมตีของกลุ่ม Rhysida Ransomware ครั้งนี้เริ่มจากการใช้ Malvertising บน Bing เพื่อหลอกให้เหยื่อดาวน์โหลดซอฟต์แวร์ปลอม เช่น Microsoft Teams และ PuTTy เมื่อผู้ใช้ติดตั้งไฟล์ดังกล่าว มัลแวร์ OysterLoader จะถูกฝังลงในระบบและทำหน้าที่เป็นตัวโหลดระยะเริ่มต้นสำหรับดึงเพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ควบคุม (C2) เช่น Ransomware หรือ Backdoor โดยใช้เทคนิค Packing และ Code-Signing Certificates เพื่อหลบเลี่ยงการตรวจจับ และในบางกรณียังพบการใช้มัลแวร์ Latrodectus ร่วมกันเพื่อขยายการเข้าถึงภายในเครือข่ายองค์กร ทำให้การโจมตีมีความต่อเนื่องและตรวจจับได้ยาก

คำแนะนำ

อนุญาตให้ดาวน์โหลดเฉพาะจากเว็บไซต์ทางการของผู้พัฒนาเท่านั้น เช่น microsoft.com หรือ putty.org
ตรวจสอบไฟล์ติดตั้งที่ลงลายเซ็นดิจิทัลผิดปกติ และเปิดการแจ้งเตือนสำหรับไฟล์ที่ใช้ใบรับรองไม่ถูกต้องหรือหมดอายุ
อัปเดตระบบรักษาความปลอดภัยและ Signature ของ Antivirus/EDR ให้ทันสมัย เพื่อให้ตรวจจับมัลแวร์ที่ถูกบีบอัดหรือเข้ารหัสได้
จำกัดสิทธิ์ผู้ใช้งานให้อยู่ในหลักการ Principle of Least Privilege
ตั้งค่า Multi-Factor Authentication สำหรับบัญชีผู้ใช้งานทั้งหมด
พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม

แหล่งอ้างอิง

https://securityonline.info/rhysida-ransomware-abuses-microsoft-trusted-signing-to-deploy-oysterloader-via-teams-malvertising/

https://expel.com/blog/certified-oysterloader-tracking-rhysida-ransomware-gang-activity-via-code-signing-certificates/

Tags :