利用武器化的MS Teams 安装器通过Oyster Malware入侵系统

通过 MS Teams Installer 散播Oyster Malware

Conscia 数字取证(Conscia’s forensic)调查揭开了一个快速自动化的攻击流，从一个简单的网络搜索开始。

2025年9月25日，一位公司雇员在必应上搜索MS Teams时被恶意重定向。从初始检查过去仅11秒后，该用户就被从必应穿过重定向域(team.frywow.com)导向到恶意网站(teams-install.icu)。这一快速重定向指向一个自动化过程，源于恶意广告活动以及被毒化的搜索引擎结果推动的 —— 这些手段将恶意链接放置于搜索结果前列。

该域名(teams-install.icu)被设计为虚假的MS下载页面并且托管在 Cloudflare 上进一步掩盖了它的恶意真相。一旦用户打开此页面，便会自动下载MSTeamsSetup.exe。大约一个小时后程序便会被执行。尽管它看起来是个合法安装器，但实际上是Oyster Malware。该攻击在MS Defender的ASR干预下被检测到阻止其连接到C2服务器(nickbush24.com)。 这一复杂行动的核心在于其滥用的代码签名证书，其签名的主体是一个看起来合法的实体"KUTTANADAN CREATIONS INC." 使用的证书有效期仅为2天，从25年9月24日至26日。

总结

上述提到的攻击策略使攻击者实现：

1. 绕过安全检测：签名认证文件通常默认可信，绕过了反病毒软件以及其他的基于签名的检测。
2. 最小化探测：短存活的证书使安全供应商在查证及取缔之前，就安全离场。
3. 自动化攻击流程：攻击者可以自动化整个流程，获取被新申请的证书签名的恶意软件来进行各种活动。 Conscia 研究还揭露了另其他的短存活的证书，诸如"陕西扬华家具用品有限公司(Shanxi Yanghua HOME Furnishings Ltd,)"等签名者提供，这表示存在一个大规模、组织严密的活动。

前瞻

此次事件在数据被窃取或勒索软件等进一步恶意载荷部署之前得以成功遏制。这一成功的防御案例表明，传统安全措施已不再足够。对数字证书的信任不能是绝对的，各组织必须部署先进的端点防护措施。若未启用 ASR 规则，Oyster 后门程序（亦称 Broomstick 或 CleanUpLoader）将在受感染系统中建立持久访问权限。攻击者将得以窃取数据、部署更多恶意软件并在网络内横向移动。此次攻击事件带来的关键教训十分明确：攻击者正在不断升级对合法系统工具的利用（即"就地取材"策略），证书信任机制正被积极武器化，而自动化攻击的速度之快，要求我们部署像攻击面缩减(ASR)这类基于行为的强健安全控制措施——毕竟，一次系统入侵可能仅在数秒内就会发生。