PuTTY偽装で広がるOysterバックドア感染 SEOポイズニングで拡大：セキュリティニュースアラート

OysterバックドアがPuTTYを偽装したマルバタイジング攻撃で拡散している。SEOポイズニングにより配布され、失効証明書の悪用も確認されている。今後も同様の攻撃が続く可能性があり、注意が必要だ。

[後藤大地，有限会社オングス]

　セキュリティ企業のCyberProofは2025年7月25日（現地時間）、「Oyster」バックドアキャンペーンに関する新たなマルバタイジング攻撃を報告した。

　Oysterバックドアは人気のあるITツールに偽装して悪意のあるインストーラーを通じて拡散するマルウェアだ。過去にランサムウェア「Rhysida」などの感染に使われたことがあるマルウェアで、2023年以降、継続的に複数のキャンペーンが観測されている。最近ではArctic Wolf Networksにより、SEOポイズニングを通じて悪意のあるOysterバックドアを配布するマルバタイジングキャンペーンが報告されている。

　今回の攻撃ではユーザーが正規のリモートターミナルクライアントソフト「PuTTY」を装ったトロイの木馬化されているインストーラーを誤ってダウンロード・実行したことをきっかけに、Oysterバックドアが展開される。

PuTTYに偽装するバックドアOysterを観測　ツールインストール時には注意

　今回の攻撃では被害者は「PuTTY-setup.exe」という名称の不正な実行ファイルをSEOポイズニング経由で入手していたことが確認されている。該当ファイルは「danielaurel.tv」というURLからダウンロードされており、インストーラーに使用されていた証明書は失効済みのものであった。CyberProofは失効済みの証明書を悪用したマルウェアキャンペーンの増加を過去数カ月にわたって観測している。

　Oysterバックドアは感染先においてシステム情報や資格情報の窃取、任意コマンドの実行、追加マルウェアのダウンロードなどを可能とし、永続化のためにスケジュールタスク「FireFox Agent INC」を3分おきに実行することが確認されている。このタスクは「rundll32.exe」経由で悪意あるDLL「zqin.dll」を呼び出すように設定されていた。

　今回の攻撃に関与していたとみられる複数のドメインやファイルハッシュ、IPアドレスが明らかになっている。

• updaterputty[.]com
• zephyrhype[.]com
• putty[.]run
• putty[.]bet
• puttyy[.]org
• 3d22a974677164d6bd7166e521e96d07cd00c884b0aeacb5555505c6a62a1c26
• a8e9f0da26a3d6729e744a6ea566c4fd4e372ceb4b2e7fc01d08844bfc5c3abb
• 3654c9585f3e86fe347b078cf44a35b6f8deb1516cdcd84e19bf3965ca86a95b
• 194.213.18.89
• 85.239.52.99

　CyberProofは検索結果や広告に紛れて配布される偽のインストーラーに注意するよう呼び掛けている。正規ツールを装ったマルウェアの配布は今後も続く可能性があり、信頼できる公式の提供元からソフトウェアを入手することが求められる。加えて失効証明書の悪用が関与する攻撃が増加傾向にある点についても引き続き監視が必要とされている。