🛡 概要
最近、ハッカーがSEOポイズニングと検索エンジン広告を利用して偽のMicrosoft Teamsインストーラーを広め、WindowsデバイスにOysterバックドアを感染させる手口が確認されました。このマルウェアは企業ネットワークへの初期アクセスを提供し、攻撃者に遠隔操作の能力を与えます。
🔍 技術詳細
Oysterマルウェアは、2023年中頃に初めて出現し、以降複数のキャンペーンに関連付けられています。具体的には、CVE情報は確認されていませんが、Oysterはリモートアクセスを提供し、コマンドの実行、追加ペイロードの展開、ファイルの転送を可能にします。最近のキャンペーンでは、検索結果で「Teamsダウンロード」を検索した際に表示される偽のサイトが利用され、teams-install[.]topというドメインが指定されています。ダウンロードリンクをクリックすると、悪意のある「MSTeamsSetup.exe」というファイルがダウンロードされます。
⚠ 影響
この偽のインストーラーは、正規のMicrosoftダウンロードと同じファイル名を使用しており、ユーザーを欺く仕組みになっています。実行されると、悪意のあるDLL「CaptureService.dll」が%APPDATA%\Roamingフォルダにドロップされ、11分ごとに実行されるスケジュールタスク「CaptureService」が作成され、バックドアが再起動後もアクティブな状態を維持します。このような手法は、以前の偽のGoogle ChromeやMicrosoft Teamsインストーラーでも見られ、企業ネットワークへの侵入に対する人気のある戦術であることが示されています。
🛠 対策
IT管理者は、特権の高い資格情報へのアクセスを狙う攻撃者にとって人気のターゲットであるため、信頼できるドメインからのみソフトウェアをダウンロードすることが強く推奨されます。また、検索エンジン広告をクリックすることを避けるべきです。このような対策を講じることで、Oysterマルウェアやその他のマルウェアからの保護が強化されます。
