Главная страница » Индикаторы компрометации
0
14 дней
Индикаторы компрометации

Зловредная рекламная кампания распространяет бэкдор Oyster/Broomstick через SEO-отравление и троянизированные утилиты

information security

С начала июня 2025 года специалисты компании Arctic Wolf зафиксировали активную кампанию по SEO-отравлению и размещению вредоносной рекламы (malvertising), нацеленную на распространение троянизированных версий популярных IT-инструментов, включая PuTTY и WinSCP. Злоумышленники создают поддельные сайты, которые появляются в результатах поиска и рекламных блоках, привлекая внимание пользователей, в первую очередь системных администраторов и IT-специалистов.

Описание

Целью атаки является загрузка вредоносного установщика, который после запуска внедряет на устройство бэкдор под названием Oyster/Broomstick. Для обеспечения устойчивости в системе зловред создает запланированную задачу (scheduled task), которая выполняется каждые три минуты, запуская вредоносную DLL-библиотеку (twain_96.dll) с помощью утилиты rundll32.exe через экспорт DllRegisterServer. Такой метод указывает на использование регистрации DLL как части механизма персистентности.

Пока зафиксированы только поддельные версии PuTTY и WinSCP, однако эксперты не исключают, что злоумышленники могут расширить список скомпрометированных утилит. Одним из примеров вредоносной активности являются рекламные объявления в поисковой системе Bing, которые выводят пользователей на фальшивые страницы загрузки.

Подобные атаки представляют серьезную угрозу, поскольку злоумышленники используют доверие пользователей к известным брендам и инструментам. IT-отделам компаний следует усилить контроль за загрузкой ПО, внедрять механизмы проверки целостности файлов и обучать сотрудников основам кибергигиены. В противном случае проникновение бэкдора может привести к утечке конфиденциальных данных, компрометации корпоративных сетей и серьезным финансовым потерям.

Эксперты Arctic Wolf продолжают мониторинг ситуации и рекомендуют всем организациям, использующим PuTTY, WinSCP и другие схожие инструменты, провести аудит систем на предмет возможного заражения. При обнаружении подозрительной активности необходимо немедленно изолировать зараженные устройства и провести полное расследование с привлечением специалистов по кибербезопасности.

В условиях роста сложности и изощренности кибератак только комплексный подход к защите данных, включающий как технические меры, так и обучение персонала, способен минимизировать риски и предотвратить серьезные инциденты. Компаниям стоит рассмотреть внедрение систем мониторинга угроз, таких как Arctic Wolf, для своевременного обнаружения и реагирования на подобные атаки.

Индикаторы компрометации

Domains

  • putty.bet
  • putty.run
  • puttyy.org
  • updaterputty.com
  • zephyrhype.com
Комментарии: 0
Похожие записи
0
14.03.2025
Индикаторы компрометации

INDOHAXSEC APT IOCs

security
INDOHAXSEC - новый индонезийский хакерский коллектив, обнаруженный компанией Arctic Wolf Labs. Они активно проводили кибератаки на малазийских чиновников, используя методы распределенного отказа в обслуживании (DDoS) и выкупного ПО.
0
05.11.2024
Индикаторы компрометации

Активность программ-вымогателей Akira и Fog растёт: SonicWall SSL VPN в зоне риска

ransomware
Исследователи кибербезопасности из компании Arctic Wolf зафиксировали тревожную тенденцию: операторы программ-вымогателей Akira и Fog всё чаще используют уязвимости в устройствах SonicWall SSL VPN для проникновения в корпоративные сети.