PuTTYやWinSCP偽装してマルウェア配布 新手の攻撃キャンペーンに注意：セキュリティニュースアラート

PuTTYやWinSCPなどの正規ツールを装って、標的にバックドア「Oyster/Broomstick」をインストールさせる新手の攻撃キャンペーンが観測された。管理者が業務上必要とするツールを迅速に取得しようとする傾向を悪用しているとみられる。

[後藤大地，有限会社オングス]

　Arctic Wolf Networksは2025年7月2日（現地時間）、検索エンジン最適化（SEO）ポイズニングとマルバタイジングを組み合わせた攻撃キャンペーンを観測した。

　この攻撃は、検索結果の上位に偽のWebサイトを表示させ、「PuTTY」や「WinSCP」といった正規のITツールになりすましたトロイの木馬化されているインストーラーをユーザーにダウンロードさせることを目的としている。

PuTTYやWinSCPを偽装してマルウェアを配布　管理者を狙う巧妙な手口

　このキャンペーンは2025年6月初旬頃から確認されており、攻撃者は検索結果や広告を操作してユーザーを偽のドメインに誘導する。偽のWebサイトでトロイの木馬化したインストーラーが配布され、ユーザーがこれらを実行すると「Oyster/Broomstick」と呼ばれるバックドアがインストールされる。

　このマルウェアは持続性の確保を目的に、タスクスケジューラで3分ごとに「twain_96.dll」という悪意あるDLLを「rundll32.exe」経由で実行するように設定されている。DLLは「DllRegisterServer」エクスポートを使用して登録されており、永続化の一部として機能している。現時点で確認されているのはPuTTYやWinSCPの改ざん版のみだが、他のツールも今後標的となる可能性がある。

　Arctic Wolf Networksはこの攻撃について、ソフトウェア取得時に注意するよう呼びかけている。検索エンジンを利用して管理ツールを入手しないようにし、検証済みのソフトウェアリポジトリーや公式ベンダーサイトから直接入手するよう推奨している。また、このキャンペーンに関与している以下のドメインも判明しており、ファイアウォールやDNSフィルタリングを通じてこれらへのアクセスを遮断することも勧めている。

• updaterputty[.]com
• zephyrhype[.]com
• putty[.]run
• putty[.]bet
• puttyy[.]org

　この種のサイバー攻撃は、管理者が業務上必要とするツールを迅速に取得しようとする傾向を悪用しており、組織内の高権限ユーザーを侵害する手口として有効に機能している。企業や組織においては、ソフトウェアの配布や導入に関するポリシーを見直し、エンドポイント保護やネットワーク監視の強化が求められる。特にスケジュールされているタスクの監視や不審なDLLの実行検知、EDR（Endpoint Detection and Response）製品の導入による迅速な対応体制の構築や運用が重要とされている。