В начале июня 2025 года исследователи Arctic Wolf сообщили о масштабной кампании с использованием вредоносной рекламы, в рамках которой распространялся бэкдор Oyster, замаскированный под легитимные программы, такие как PuTTY, KeePass и WinSCP. Атака основывалась на SEO-отравлении, когда жертвы, искавшие официальные версии софта, попадали на поддельные сайты и загружали вредоносные установщики. В результате происходило заражение систем бэкдором, также известным как Broomstick или CleanupLoader.
Описание
Oyster Backdoor - не новое явление: его активное использование фиксировали ещё с 2023 года. Ранее злоумышленники распространяли его под видом установщиков Google Chrome и Microsoft Teams. Основная опасность этого бэкдора в том, что он действует как загрузчик (loader) для последующего внедрения более опасных угроз, включая ransomware-семейства, такие как Rhysida.
Во второй половине июля 2025 года аналитики CyberProof зафиксировали новый случай заражения Oyster, когда пользователь скачал вредоносный файл, выдававший себя за установщик PuTTY. К счастью, атака была своевременно обнаружена и заблокирована, поэтому злоумышленники не успели проявить активность на заражённой системе. Однако этот инцидент позволил исследователям изучить технические детали работы бэкдора.
Как работает Oyster Backdoor?
После успешной установки (обычно через поддельные установщики или вредоносную рекламу) Oyster получает удалённый доступ к системе. Его функционал включает сбор информации о системе, кражу учетных данных, выполнение произвольных команд, загрузку дополнительных вредоносных модулей и обеспечение устойчивости через создание запланированных задач.
В ходе расследования инцидента специалисты CyberProof выяснили, что пользователь загрузил вредоносный файл по ссылке https[:]//danielaurel.tv/wp-json/api/download/553d53f6d17341fb5a4acdd48f2a0152. Файл, названный PuTTY-setup.exe (SHA-256: a8e9f0da26a3d6729e744a6ea566c4fd4e372ceb4b2e7fc01d08844bfc5c3abb), использовал сертификат, который уже был отозван. Исследователи также обнаружили другие файлы с тем же сертификатом, что указывает на систематическое использование подобного метода в других кампаниях.
Механика заражения
Анализ событий на конечной машине показал, что после запуска вредоносного исполняемого файла в систему загружалась вредоносная DLL, выполняемая через rundll32.exe. Для обеспечения устойчивости Oyster создавал запланированную задачу под названием "FireFox Agent INC", настроенную на выполнение каждые три минуты.
Логи веб-прокси подтвердили, что пользователь мог попасть на вредоносный сайт через SEO-отравление. Вредоносы активно использовали троянизированные версии популярных IT-инструментов, таких как PuTTY и WinSCP, и распространяли их через фальшивые рекламные объявления в поисковых системах, включая Bing.
Заключение
Атака Oyster Backdoor - очередной пример того, как злоумышленники используют доверие пользователей к известному ПО для распространения вредоносного кода. Троян не только крадёт данные, но и открывает путь для более опасных угроз, таких как программы-вымогатели.
Хотя в данном случае заражение удалось предотвратить, инцидент подчёркивает необходимость повышенной осторожности при загрузке программного обеспечения. Эксперты рекомендуют скачивать софт только с официальных сайтов разработчиков и применять дополнительные меры защиты, такие как блокировка подозрительных доменов и мониторинг подозрительной активности в корпоративных сетях.
Тенденция использования отозванных сертификатов и SEO-отравления продолжает набирать обороты, что делает такие атаки ещё более опасными и сложными для обнаружения. Поэтому важно оставаться в курсе последних угроз и оперативно реагировать на новые методы киберпреступников.
Индикаторы компрометации
IPv4
- 194.213.18.89
- 85.239.52.99
Domains
- putty.bet
- putty.run
- puttyy.org
- updaterputty.com
- zephyrhype.com
SHA256
- 3654c9585f3e86fe347b078cf44a35b6f8deb1516cdcd84e19bf3965ca86a95b
- 3d22a974677164d6bd7166e521e96d07cd00c884b0aeacb5555505c6a62a1c26
- a8e9f0da26a3d6729e744a6ea566c4fd4e372ceb4b2e7fc01d08844bfc5c3abb
