PuTTYやWinSCP偽装してマルウェア配布 新手の攻撃キャンペーンに注意:セキュリティニュースアラート
PuTTYやWinSCPなどの正規ツールを装って、標的にバックドア「Oyster/Broomstick」をインストールさせる新手の攻撃キャンペーンが観測された。管理者が業務上必要とするツールを迅速に取得しようとする傾向を悪用しているとみられる。
Arctic Wolf Networksは2025年7月2日(現地時間)、検索エンジン最適化(SEO)ポイズニングとマルバタイジングを組み合わせた攻撃キャンペーンを観測した。
この攻撃は、検索結果の上位に偽のWebサイトを表示させ、「PuTTY」や「WinSCP」といった正規のITツールになりすましたトロイの木馬化されているインストーラーをユーザーにダウンロードさせることを目的としている。
PuTTYやWinSCPを偽装してマルウェアを配布 管理者を狙う巧妙な手口
このキャンペーンは2025年6月初旬頃から確認されており、攻撃者は検索結果や広告を操作してユーザーを偽のドメインに誘導する。偽のWebサイトでトロイの木馬化したインストーラーが配布され、ユーザーがこれらを実行すると「Oyster/Broomstick」と呼ばれるバックドアがインストールされる。
このマルウェアは持続性の確保を目的に、タスクスケジューラで3分ごとに「twain_96.dll」という悪意あるDLLを「rundll32.exe」経由で実行するように設定されている。DLLは「DllRegisterServer」エクスポートを使用して登録されており、永続化の一部として機能している。現時点で確認されているのはPuTTYやWinSCPの改ざん版のみだが、他のツールも今後標的となる可能性がある。
Arctic Wolf Networksはこの攻撃について、ソフトウェア取得時に注意するよう呼びかけている。検索エンジンを利用して管理ツールを入手しないようにし、検証済みのソフトウェアリポジトリーや公式ベンダーサイトから直接入手するよう推奨している。また、このキャンペーンに関与している以下のドメインも判明しており、ファイアウォールやDNSフィルタリングを通じてこれらへのアクセスを遮断することも勧めている。
- updaterputty[.]com
- zephyrhype[.]com
- putty[.]run
- putty[.]bet
- puttyy[.]org
この種のサイバー攻撃は、管理者が業務上必要とするツールを迅速に取得しようとする傾向を悪用しており、組織内の高権限ユーザーを侵害する手口として有効に機能している。企業や組織においては、ソフトウェアの配布や導入に関するポリシーを見直し、エンドポイント保護やネットワーク監視の強化が求められる。特にスケジュールされているタスクの監視や不審なDLLの実行検知、EDR(Endpoint Detection and Response)製品の導入による迅速な対応体制の構築や運用が重要とされている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
有料のウイルス対策ソフトを入れる人は“初心者”? マルウェア対策を再考しよう
インフォスティーラーの脅威が本格化しつつある中、組織と個人ともに改めてマルウェア対策を再考する必要がありそうです。ただ最近、「有料のウイルス対策ソフト不要説」がちらほらと出ているようです。一体どういうことでしょうか。
多要素認証突破も当たり前 今話題のリアルタイムフィッシングとは?
国内でのフィッシング被害が激化する中、多要素認証を突破する攻撃も登場しています。こうした高度な攻撃に対処するには個人を含めた組織全体でセキュリティリテラシーを向上させる必要があります。ではそのためにはどうすればいいのでしょうか。
Lenovo製PCに潜むAppLocker回避の脆弱性 標準ユーザーでも書き込み可能に
セキュリティ研究者が、Lenovo製PCのWindowsシステムフォルダにAppLocker回避に悪用可能な脆弱ファイルが存在すると報告した。ACL設定不備により標準ユーザーでも書き込みができ、悪用可能とされている。
Chromeに深刻な脆弱性「CVE-2025-6554」 急ぎアップデートを
Google Chromeはセキュリティの修正を含む最新バージョンを提供した。リモートから任意の読み書き操作が可能になる深刻な脆弱性を修正しており、早急なアップデートが推奨されている。