Các tác nhân đe dọa đã sử dụng các phiên bản trojan hóa của các công cụ IT phổ biến như PuTTY và WinSCP để phát tán backdoor Oyster, còn được biết đến với tên gọi Broomstick hoặc CleanupLoader. Đây là một chiến dịch malvertising và SEO poisoning tinh vi, được các nhà nghiên cứu của Arctic Wolf ghi nhận lần đầu vào đầu tháng 6 năm 2025, cho thấy một mối đe dọa mạng đang phát triển và liên tục biến đổi. Hoạt động này lợi dụng kết quả tìm kiếm và quảng cáo trả phí trên các nền tảng như Bing để quảng bá các trang web độc hại, giả mạo các cổng tải phần mềm hợp pháp, chủ yếu nhắm vào các chuyên gia IT thường xuyên tìm kiếm các tiện ích quản trị.
Ngoài PuTTY và WinSCP, đã có những dấu hiệu cho thấy công cụ KeyPass cũng bị lợi dụng trong các mồi nhử tương tự. Các chiến dịch này là minh chứng rõ ràng cho mức độ nguy hiểm của mối đe dọa mạng thông qua các kênh phân phối không chính thức. Khi nạn nhân tải xuống và thực thi các trình cài đặt giả mạo này, họ vô tình triển khai backdoor Oyster.
Phương Thức Lây Nhiễm và Cơ Chế Hoạt Động của Oyster Backdoor
Backdoor Oyster thiết lập cơ chế duy trì trên hệ thống bằng cách tạo một tác vụ theo lịch trình (scheduled task). Tác vụ này được cấu hình để thực thi mỗi ba phút một lần, cho thấy ý đồ duy trì hiện diện lâu dài trên hệ thống nạn nhân, một đặc điểm của nhiều mối đe dọa mạng phức tạp.
Tác vụ theo lịch trình sử dụng tiện ích
rundll32.exeđể chạy một tệp DLL độc hại, thường là
twain_96.dllhoặc
zqin.dll, thông qua hàm xuất
DllRegisterServer.
Khi được kích hoạt, backdoor Oyster cho phép truy cập từ xa, thực hiện trinh sát hệ thống, đánh cắp thông tin đăng nhập, thực thi lệnh và triển khai các mã độc khác. Điều này biến nó thành một công cụ đa năng cho các cuộc tấn công mạng, từ giai đoạn truy cập ban đầu đến việc mở rộng sự xâm nhập.
Chiến dịch này có nguồn gốc từ ít nhất năm 2023. Trong quá khứ, Oyster thường ngụy trang dưới dạng trình cài đặt cho Google Chrome và Microsoft Teams. Nó thường đóng vai trò là trình tải (loader) cho các payload bổ sung, mở đường cho các cuộc lây nhiễm ransomware như Rhysida, cho thấy tiềm năng gây ra thiệt hại nghiêm trọng từ mối đe dọa mạng này.
Phân Tích Sự Cố Lây Nhiễm Gần Đây
Các nhà nghiên cứu về mối đe dọa của CyberProof đã xác định một trường hợp lây nhiễm Oyster cụ thể vào nửa cuối tháng 7 năm 2025. Trong sự cố này, một người dùng đã bị lừa tải xuống một phiên bản PuTTY giả mạo độc hại từ URL: https://danielaurel.tv/wp-json/api/download/553d53f6d17341fb5a4acdd48f2a0152.
Tệp này, có tên
PuTTY-setup.exe và giá trị SHA256 là a8e9f0da26a3d6729e744a6ea566c4fd4e372ceb4b2e7fc01d08844bfc5c3abb, được ký bằng một chứng chỉ đã bị thu hồi. Đây là một chiến thuật ngày càng phổ biến trong các chiến dịch mã độc, bao gồm cả những chiến dịch lạm dụng ConnectWise ScreenConnect, cho thấy sự thích nghi của các mối đe dọa mạng hiện đại.
Phân tích sandbox trên các nền tảng như Any.run đã tiết lộ chuỗi lây nhiễm (kill chain) như sau:
- Trình cài đặt thả và thực thi payload DLL thông qua
rundll32.exe.
- Thiết lập cơ chế duy trì thông qua một tác vụ theo lịch trình có tên “FireFox Agent INC.”.
Các bản ghi proxy web đã xác nhận rằng các tìm kiếm của người dùng dẫn đến các trang web bị SEO poisoning. Các sự kiện trên điểm cuối (endpoint events) đã xác minh sự hiện diện và thực thi của tệp độc hại.
May mắn thay, backdoor đã được phát hiện và chặn kịp thời, ngăn chặn các hoạt động tấn công trực tiếp vào hệ thống. Tuy nhiên, sự cố này một lần nữa nhấn mạnh những rủi ro tiềm ẩn từ việc tải xuống các tệp không được kiểm duyệt, đồng thời cho thấy sự tinh vi của mối đe dọa mạng này.
Các Chỉ Số IOC (Indicators of Compromise)
Để hỗ trợ công tác phát hiện và phòng thủ, các tổ chức và chuyên gia bảo mật có thể tham khảo các chỉ số IOC sau, nhằm tăng cường khả năng đối phó với mối đe dọa mạng này:
- URL độc hại:
https://danielaurel.tv/wp-json/api/download/553d53f6d17341fb5a4acdd48f2a0152 - SHA256 của tệp độc hại:
a8e9f0da26a3d6729e744a6ea566c4fd4e372ceb4b2e7fc01d08844bfc5c3abb - Tên tác vụ theo lịch trình (Scheduled Task): “FireFox Agent INC.”
- Tên DLL độc hại thường gặp:
twain_96.dll,zqin.dll
Biện Pháp Phòng Chống và Săn Lùng Mối Đe Dọa (Threat Hunting)
Để giảm thiểu rủi ro từ các chiến dịch như Oyster backdoor, các chuyên gia và tổ chức cần tuân thủ các khuyến nghị về an ninh mạng sau:
- Tránh phụ thuộc vào công cụ tìm kiếm: Không sử dụng kết quả tìm kiếm để tải xuống phần mềm. Thay vào đó, người dùng và quản trị viên nên điều hướng trực tiếp đến các trang web chính thức của nhà cung cấp hoặc sử dụng các kho lưu trữ phần mềm nội bộ đáng tin cậy.
- Chặn tên miền độc hại: Triển khai các chính sách chặn tên miền (domain blocking) đối với các máy chủ độc hại đã biết để hạn chế tiếp xúc.
- Truy vấn săn lùng mối đe dọa: Các đội bảo mật có thể sử dụng các truy vấn tập trung vào các chỉ báo như việc tạo tác vụ theo lịch trình liên quan đến
rundll32.exevà các hoạt động thực thi DLL bất thường.
Khả năng của backdoor Oyster bao gồm thu thập thông tin hệ thống, đánh cắp thông tin xác thực và tạo điều kiện cho di chuyển ngang (lateral movement), biến nó thành một công cụ đa năng để truy cập ban đầu trong các cuộc xâm nhập quy mô lớn hơn. Việc sử dụng chứng chỉ bị thu hồi bởi mã độc này phù hợp với xu hướng trong các chiến dịch gần đây, nơi kẻ tấn công khai thác những chứng chỉ này để né tránh sự phát hiện, tăng cường tính khó lường của mối đe dọa mạng.
Trong khi chỉ có các phiên bản PuTTY và WinSCP bị trojan hóa được xác nhận, khả năng mở rộng sang các công cụ khác như KeyPass là hoàn toàn có thể xảy ra. Điều này nhấn mạnh sự cần thiết của việc săn lùng mối đe dọa một cách cảnh giác và liên tục để đối phó với những mối đe dọa mạng đang ngày càng phức tạp.
