Компания Darktrace провела расследование кампании по распространению бэкдора Oyster через поддельные сайты популярного SSH-клиента PuTTY с использованием техники SEO-отравления. Атака демонстрирует опасное сочетание массовых методов доставки вредоносного программного обеспечения с целенаправленными атаками на ИТ-администраторов.
Описание
SEO-отравление представляет собой тактику, при которой злоумышленники манипулируют результатами поисковых систем для продвижения мошеннических веб-сайтов. Эти ресурсы часто имитируют легитимное программное обеспечение, распространяя такие угрозы, как бэкдор Oyster. В июне 2025 года аналитики Darktrace обнаружили кампанию, использующую манипуляции с поисковыми системами для доставки вредоносного программного обеспечения под видом популярного клиента PuTTY.
Атака начинается с регистрации доменных имен с опечатками, таких как putty[.]run или puttyy[.]org. Эти сайты оптимизированы для поисковых систем и часто поддерживаются вредоносной рекламой в Google, что увеличивает их видимость при поиске ссылок для скачивания. Для достижения высоких позиций в результатах поиска злоумышленники внедряют страницы с тщательно подобранными ключевыми словами высокой ценности или копируют контент из авторитетных источников.
Когда пользователь попадает на поддельную страницу, ему предлагается скачать якобы легитимное программное обеспечение. При нажатии на ссылку для загрузки происходит перенаправление на отдельный домен, который фактически hosts (размещает) вредоносную нагрузку. Эти домены третьих сторон могут включать недавно зарегистрированные ресурсы или легитимные веб-сайты, недавно скомпрометированные злоумышленниками.
Oyster, также известный как Broomstick или CleanUpLoader, представляет собой бэкдор на основе C++, впервые идентифицированный в июле 2023 года. Он обеспечивает удаленный доступ к зараженным системам с возможностью взаимодействия через командную строку и передачи файлов. Этот бэкдор широко используется различными группами злоумышленников, включая Vanilla Tempest и Rhysida, часто в качестве точки входа для атак с использованием программ-вымогателей.
После установки бэкдор собирает основную системную информацию перед установлением связи с командным сервером (C2). Вредоносное программное обеспечение в значительной степени полагается на экземпляр "cmd.exe" для выполнения команд и запуска других файлов. При загрузке с поддельных страниц пользователь получает не просто PuTTY, а троянизированную версию, содержащую скрытый бэкдор Oyster.
Модуль сохраняемости Oyster включает создание запланированной задачи Windows, которая запускается каждые несколько минут. Инфекция использует технику side loading (подгрузки) DLL, при которой вредоносная библиотека, часто под именем "twain_96.dll", выполняется с помощью легитимной утилиты Windows "rundll32.exe". Этот метод часто используется злоумышленниками для маскировки своей активности под нормальные системные операции.
Аналитики Darktrace отметили сложное использование поддельных строк пользовательского агента в нескольких исследуемых сетях клиентов. Эти заголовки, которые обычно используются для идентификации приложения, выполняющего HTTP-запрос, тщательно crafted (созданы) для того, чтобы выглядеть безобидными или имитировать легитимное программное обеспечение. Один из распространенных примеров, наблюдаемых в кампании, - строка пользовательского агента "WordPressAgent".
В одном из наблюдаемых инцидентов Darktrace зафиксировала зараженное устройство, загружающее ZIP-файл с именем "host[.]zip" через curl из пути URI /333/host[.]zip. Вскоре после этого устройство продемонстрировало признаки вероятной эксфильтрации данных с исходящими HTTP POST-запросами, содержащими шаблон URI: /upload?dir=NAME_FOLDER/KEY_KEY_KEY/redacted/c/users/public.
В нескольких случаях в рамках кампании были выявлены аномальные или неожиданные сеансы Remote Desktop Protocol (RDP), происходящие вскоре после DNS-запросов к поддельным доменам PuTTY. Необычные RDP-подключения часто следовали за общением с C2-серверами бэкдора Oyster. Кроме того, Darktrace обнаружила patterns (шаблоны) сканирования RDP, что свидетельствует о активном поиске злоумышленниками доступных систем в сети.
Особую озабоченность вызывает использование PuTTY в качестве приманки, что потенциально указывает на сужение scope (области) targeting (целевого воздействия) - на ИТ-администраторов и учетные записи с высокими привилегиями из-за характера функциональных возможностей PuTTY. Это сочетание массовых методов доставки с целевыми атаками на высокопривилегированных пользователей представляет серьезную угрозу для корпоративных и государственных сетей.
Наблюдаемая активность свидетельствует о потенциальной конвергенции между традиционными тактиками доставки киберпреступников и целями, обычно связанными с более sophisticated (продвинутыми) злоумышленниками. Эта тенденция соответствует растущей prominence (значимости) Malware-as-a-Service (MaaS) и роли брокеров начального доступа в современной экосистеме киберпреступности.
Индикаторы компрометации
IPv4
- 185.196.8.217
- 185.208.158.119
- 85.239.52.99
URLs
- 185.28.119.113/secure
- 194.213.18.89/reg
Domains
- putty.run
- putty-app.naymin.com
