PuTTYとWinSCPは、ともにSSHプロトコルを利用できるWindows環境用ソフトウェアです。
PuTTYは主にSSHやTelnetなどのリモートログインに使用され、WinSCPはSCP、SFTP、FTPなどのプロトコルを利用してファイル転送を行うためのGUIクライアントです。
どちらも多くの人に利用されています。
これらのツールの偽物が確認されています。
- 始まり方
攻撃者はSEOポイズニングやマルバタイジング戦略を実施します。
正規のソフトウェアリポジトリに酷似した偽のダウンロードサイトを宣伝し、インストーラーをダウンロードさせます。 - インストーラーの実行
インストーラーを実行すると、ソフトウェアがインストールされますが、目的のソフトウェア以外も設置されます。
現在確認されているキャンペーンでは、追加されるものはOysterとBroomstickでした。
これは永続化機構を搭載したバックドア型マルウェアです。 - OysterとBroomstickの永続化機構
OysterとBroomstickは永続化機構を搭載しています。
制御を維持するために3分毎にスケジュールされたタスクを実行します。
そのタスクでは、rundll32.exe経由でDllRegisterServerエクスポート関数を使用して悪意のあるDLL(twain_96.dll)を実行します。
安全なリモート接続のために広く使用されているSSHクライアントであるPuTTYの偽物と、安全なファイル転送を可能にするSFTP/FTPクライアントであるWinSCPの偽物というお話でした。
ツールを入手しようとして、検索エンジンを利用することは多いかもしれません。
そして、表示されたWebサイトのタイトルや説明に「Official」とあると、公式なものであると感じてしまうかもしれません。
しかし、公式と書いてあるから公式なのかというと、本当にそうなのでしょうか。
入手元について、よく確認するようにしたいですね。
Malvertising Campaign Delivers Oyster/Broomstick Backdoor via SEO Poisoning and Trojanized Tools
https://arcticwolf.com/resources/blog/malvertising-campaign-delivers-oyster-broomstick-backdoor-via-seo-poisoning-trojanized-tools/
| この記事をシェア |
|
|---|
