ระวังตัวไว้ให้ดี! โหลด Teams ผิด เสี่ยงโดน Oyster Malware เจาะระบบ
ภัยคุกคามไซเบอร์ยุคใหม่กำลังพัฒนาไปอีกขั้น เมื่อมีการค้นพบการโจมตีที่ใช้ SEO Poisoning และ Malvertising หลอกผู้ใช้ให้ดาวน์โหลดตัวติดตั้ง Microsoft Teams ปลอม ซึ่งแท้จริงแล้วคือ Oyster Malware หรือที่รู้จักกันในชื่อ Broomstick และ CleanUpLoader โดยมัลแวร์ชนิดนี้เปิดทางให้ผู้โจมตีสามารถควบคุมเครื่องจากระยะไกล ขโมยข้อมูล และเข้าถึงระบบได้อย่างต่อเนื่อง
Oyster Malware คืออะไร?
Oyster Malware ปรากฏครั้งแรกในปี 2023 และถูกใช้เป็นเครื่องมือในการโจมตีระบบมากมาย โดยความสามารถหลักมีดังนี้
- ควบคุมเครื่องจากระยะไกลผ่าน Command and Control
- ขโมยข้อมูลสำคัญ เช่น ไฟล์และ Credential ต่าง ๆ ที่อยู่ในระบบ
- สร้าง Persistence Session ให้อยู่ในระบบได้ยาวนาน
Oyster Malware ถูกเชื่อมโยงกับกลุ่ม Ransomware เช่น Rhysida ซึ่งใช้ Oyster เป็นช่องทางแทรกซึมเข้าไปในองค์กร ก่อนจะปล่อย Payload ที่รุนแรงยิ่งกว่า
Attack Chain: จาก Search Result สู่การติดตั้ง Backdoor
เหตุการณ์ล่าสุดถูกวิเคราะห์โดย Conscia พบว่าโจมตีเริ่มจากพนักงานค้นหา “Microsoft Teams Download” บน Bing ก่อนถูก Redirect ไปยัง teams-install.icu ซึ่งเลียนแบบเว็บจริงของ Microsoft โดยที่หน้าตาใกล้เคียงกันมาก ซึ่งไฟล์ MSTeamsSetup.exe ที่ถูกดาวน์โหลดมา ถูกลงนามด้วย Certificate จริงอายุเพียง 2 วัน ทำให้ผ่านการตรวจสอบเบื้องต้น และนำ Certificate ใหม่ วนใช้เพื่อโจมตีเรื่อย ๆ ไม่รู้จบสิ้นได้
เมื่อรันไฟล์ ตัว Malware จะพยายามติดต่อ C2 Server nickbush24.com เพื่อขโมยข้อมูล แต่โชคดีที่ Microsoft Defender ASR ขัดขวางไว้ได้ทัน ทำให้ไม่เกิดเหตุการณ์ร้ายแรงขึ้น
Cato Networks. (2025, September 28). Oyster malware campaign illustration [Image]. Cato Networks Blog. Retrieved September 17, 2025, from https://www.catonetworks.com/blog/cato-ctrl-oyster-malware-campaign/
สิ่งที่องค์กรควรทำเพื่อป้องการเหตุการณ์ในลักษณะนี้
เพื่อป้องกันภัยลักษณะนี้ องค์กรควร:
- ดาวน์โหลดซอฟต์แวร์เฉพาะจาก Domain ทางการ ของผู้พัฒนา Software เท่านั้น
- ตรวจสอบ Digital Signature และ Checksum ทุกครั้งที่ดาวน์โหลดไฟล์
- ใช้ EDR เพื่อบล็อกพฤติกรรมผิดปกติที่อาจมาในยามใดก็ได้
- ฝึกอบรมพนักงานเกี่ยวกับ Malvertising และ SEO Poisoning เพื่อให้เกิดความตระหนักรู้อย่างเท่าทัน
เคสนี้สะท้อนว่า การเชื่อไฟล์ที่มี Digital Certificate ไม่เพียงพออีกต่อไป และความเร็วของการโจมตีทำให้ระบบป้องกันแบบดั้งเดิมไม่สามารถหยุดได้ทัน การใช้ Behavior-Based Security เช่น ASR และ Zero Trust Endpoint Protection ที่มีความสามารถที่แข็งแกร่งอย่าง Microsegmentation จะช่วยให้ระบบของคุณแข็งแกร่งขึ้นมากกว่าเดิมมากขึ้น
อย่าปล่อยให้คุณเป็นเป้าหมายคนต่อไป ลงทุนในระบบป้องกันและอบรมบุคลากรตั้งแต่วันนี้ เพื่อความมั่นคงในวันพรุ่งนี้
สนใจ Illumio เพื่อป้องกันองค์กรจาก Ransomware ติดต่อมาได้เลยที่ Line : @monsteronline
References
- Bleeping Computer. (2025, September 28). Sophisticated campaign targets Microsoft Teams users with Oyster malware. Bleeping Computer. https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-cisco-flaws-exploited-in-zero-day-attacks/
- Conscia. (2025, September 28). Oyster malware attack flow. Conscia. Retrieved September 29, 2025, from https://www.conscia.com/
