一场针对系统管理员的复杂搜索引擎优化(SEO)投毒及恶意广告活动浮出水面,其借助带有后门的恶意软件实施攻击。
Arctic Wolf安全研究人员发现,自2025年6月初以来,一场危险的搜索引擎优化投毒与恶意广告活动持续针对着IT专业人员。
该活动利用虚假网站托管植入木马的热门IT工具(特别是PuTTY和WinSCP),在受害者系统上安装后门恶意软件。
活动概述
此恶意活动通过操纵搜索引擎,推广模仿正规软件仓库的虚假下载站点。当IT专业人员搜索这些必备工具时,会看到赞助广告和被投毒的搜索结果,这些结果会将其重定向至攻击者控制的域名。
主要目标工具包括:
- PuTTY:一款用于安全远程连接的热门SSH客户端
- WinSCP:一款用于安全文件传输的SFTP/FTP客户端
攻击技术细节
受害者下载并执行植入木马的安装程序后,会在不知情的情况下安装名为Oyster/Broomstick的复杂后门。该恶意软件采用高级持久化机制,对企业环境构成严重威胁。
后门通过以下方式实现持久化:
- 每三分钟执行一次的计划任务
- 通过exe执行恶意DLL(twain_96.dll)
- 利用DllRegisterServer导出函数进行DLL注册
该活动专门针对IT专业人员和系统管理员,因为这些用户在企业网络中通常拥有高级权限。这使其成为威胁actors的重要目标,攻击者旨在:
- 在企业网络中快速传播
- 访问组织敏感数据
- 控制域控制器
- 部署额外恶意软件载荷,包括勒索软件
此次攻击利用了IT专业人员频繁下载管理工具的需求,使得社会工程学手段尤为奏效。许多管理员依赖搜索引擎快速查找软件,这为攻击者创造了通过恶意结果拦截搜索的机会。
Arctic Wolf已识别出与该活动相关的多个域名,各组织应立即屏蔽:
- updaterputty[.]com
- zephyrhype[.]com
- putty[.]run
- putty[.]bet
- puttyy[.]org
给组织的建议
- 实施可信软件获取规范:
- 禁止员工使用搜索引擎查找管理工具
- 建立经过审核的内部软件仓库
- 要求直接访问官方供应商网站
- 实施严格的IT工具下载政策
- 部署网络级防护:
- 在防火墙层面屏蔽已识别的恶意域名
- 实施DNS过滤,防止访问已知恶意域名
- 监控可疑计划任务和DLL执行情况
- 部署端点检测与响应(EDR)解决方案
该活动标志着针对IT基础设施的定向攻击出现了令人担忧的新变化。类似的搜索引擎优化投毒活动已大幅增加,网络安全专家指出,2024年相关攻击增幅达103%。
对必备IT工具的攻击表明,威胁actors正不断调整策略,利用受害者的日常工作流程实施攻击。
此次活动的发现凸显了实施强健网络安全措施的极端重要性,尤其是在软件获取和端点防护方面。各组织必须保持警惕,因为攻击者正持续改进技术,以绕过传统安全措施,并将目标对准那些负责维护网络安全的专业人员。
发表评论
您还未登录,请先登录。
登录