Back to Blog

ระวังตัวไว้ให้ดี! โหลด Teams ผิด เสี่ยงโดน Oyster Malware เจาะระบบ

ภัยคุกคามไซเบอร์ยุคใหม่กำลังพัฒนาไปอีกขั้น เมื่อมีการค้นพบการโจมตีที่ใช้ SEO Poisoning และ Malvertising หลอกผู้ใช้ให้ดาวน์โหลดตัวติดตั้ง Microsoft Teams ปลอม ซึ่งแท้จริงแล้วคือ Oyster Malware หรือที่รู้จักกันในชื่อ Broomstick…

MonsterConnect
2 min read
ระวังตัวไว้ให้ดี! โหลด Teams ผิด เสี่ยงโดน Oyster Malware เจาะระบบ

ภัยคุกคามไซเบอร์ยุคใหม่กำลังพัฒนาไปอีกขั้น เมื่อมีการค้นพบการโจมตีที่ใช้ SEO Poisoning และ Malvertising หลอกผู้ใช้ให้ดาวน์โหลดตัวติดตั้ง Microsoft Teams ปลอม ซึ่งแท้จริงแล้วคือ Oyster Malware หรือที่รู้จักกันในชื่อ Broomstick และ CleanUpLoader โดยมัลแวร์ชนิดนี้เปิดทางให้ผู้โจมตีสามารถควบคุมเครื่องจากระยะไกล ขโมยข้อมูล และเข้าถึงระบบได้อย่างต่อเนื่อง  

 

Oyster Malware คืออะไร?

Oyster Malware ปรากฏครั้งแรกในปี 2023 และถูกใช้เป็นเครื่องมือในการโจมตีระบบมากมาย โดยความสามารถหลักมีดังนี้

  • ควบคุมเครื่องจากระยะไกลผ่าน Command and Control
  • ขโมยข้อมูลสำคัญ เช่น ไฟล์และ Credential ต่าง ๆ ที่อยู่ในระบบ
  • สร้าง Persistence Session ให้อยู่ในระบบได้ยาวนาน

Oyster Malware ถูกเชื่อมโยงกับกลุ่ม Ransomware เช่น Rhysida ซึ่งใช้ Oyster เป็นช่องทางแทรกซึมเข้าไปในองค์กร ก่อนจะปล่อย Payload ที่รุนแรงยิ่งกว่า

Attack Chain: จาก Search Result สู่การติดตั้ง Backdoor

เหตุการณ์ล่าสุดถูกวิเคราะห์โดย Conscia พบว่าโจมตีเริ่มจากพนักงานค้นหา “Microsoft Teams Download” บน Bing ก่อนถูก Redirect ไปยัง teams-install.icu ซึ่งเลียนแบบเว็บจริงของ Microsoft โดยที่หน้าตาใกล้เคียงกันมาก ซึ่งไฟล์ MSTeamsSetup.exe ที่ถูกดาวน์โหลดมา ถูกลงนามด้วย Certificate จริงอายุเพียง 2 วัน ทำให้ผ่านการตรวจสอบเบื้องต้น และนำ Certificate ใหม่ วนใช้เพื่อโจมตีเรื่อย ๆ ไม่รู้จบสิ้นได้ เมื่อรันไฟล์ ตัว Malware จะพยายามติดต่อ C2 Server nickbush24.com เพื่อขโมยข้อมูล แต่โชคดีที่ Microsoft Defender ASR ขัดขวางไว้ได้ทัน ทำให้ไม่เกิดเหตุการณ์ร้ายแรงขึ้น

Cato Networks. (2025, September 28). Oyster malware campaign illustration [Image]. Cato Networks Blog. Retrieved September 17, 2025, from https://www.catonetworks.com/blog/cato-ctrl-oyster-malware-campaign/

สิ่งที่องค์กรควรทำเพื่อป้องการเหตุการณ์ในลักษณะนี้

เพื่อป้องกันภัยลักษณะนี้ องค์กรควร:

  1. ดาวน์โหลดซอฟต์แวร์เฉพาะจาก Domain ทางการ ของผู้พัฒนา Software เท่านั้น
  2. ตรวจสอบ Digital Signature และ Checksum ทุกครั้งที่ดาวน์โหลดไฟล์
  3. ใช้ EDR เพื่อบล็อกพฤติกรรมผิดปกติที่อาจมาในยามใดก็ได้
  4. ฝึกอบรมพนักงานเกี่ยวกับ Malvertising และ SEO Poisoning เพื่อให้เกิดความตระหนักรู้อย่างเท่าทัน

เคสนี้สะท้อนว่า การเชื่อไฟล์ที่มี Digital Certificate ไม่เพียงพออีกต่อไป และความเร็วของการโจมตีทำให้ระบบป้องกันแบบดั้งเดิมไม่สามารถหยุดได้ทัน การใช้ Behavior-Based Security เช่น ASR และ Zero Trust Endpoint Protection ที่มีความสามารถที่แข็งแกร่งอย่าง Microsegmentation จะช่วยให้ระบบของคุณแข็งแกร่งขึ้นมากกว่าเดิมมากขึ้น

อย่าปล่อยให้คุณเป็นเป้าหมายคนต่อไป ลงทุนในระบบป้องกันและอบรมบุคลากรตั้งแต่วันนี้ เพื่อความมั่นคงในวันพรุ่งนี้  

สนใจ Illumio เพื่อป้องกันองค์กรจาก Ransomware ติดต่อมาได้เลยที่ Line : @monsteronline

References

  • Bleeping Computer. (2025, September 28). Sophisticated campaign targets Microsoft Teams users with Oyster malware. Bleeping Computer. https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-cisco-flaws-exploited-in-zero-day-attacks/
  • Conscia. (2025, September 28). Oyster malware attack flow. Conscia. Retrieved September 29, 2025, from https://www.conscia.com/

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line: @monsteronline

☎️ Tel: 02-026-6664

📩 Email: [email protected]

🌐 ดูสินค้าเพิ่มเติม: mon.co.th