网络安全专家近日发出警告,攻击者正通过恶意广告传播伪装成 PuTTY 的恶意软件,专门针对系统管理员群体。这一新型威胁标志着攻击方式的重大转变——恶意广告已超越传统钓鱼手段,成为恶意软件传播的主要渠道。
ExpelSecurity 安全团队发现,当前攻击活动专门针对搜索 PuTTY(系统管理员常用的 SSH 和 telnet 客户端)的用户。攻击者精心策划,将恶意广告置顶于 Bing 搜索结果,这些广告看似指向正规 PuTTY 网站,实则会将访问者重定向至攻击者控制的恶意站点。
这种欺骗手段利用了系统管理员对常用工具和搜索引擎结果的信任。当用户点击这些虚假广告时,会下载加载名为 Oyster/Broomstick 的远程访问工具,该工具已知被 Rhysida 勒索软件使用。
精密攻击链最终部署勒索软件
恶意 PuTTY 安装程序一旦被执行,就会部署 Oyster/Broomstick 远程访问工具,该工具与臭名昭著的 Rhysida 勒索软件团伙存在关联。这种多阶段攻击展现了网络犯罪活动日益精密的趋势,将社会工程学手段与先进技术能力相结合。
恶意软件通过创建名为"Security Updater"的定时任务实现持久化,该任务从用户的 AppData 目录运行。这种命名方式巧妙地模仿了合法的系统维护进程,增加了用户和安全软件的检测难度。
攻击活动背后的资金投入凸显了网络犯罪的专业化程度。威胁研究人员报告称,攻击者近期花费数千美元购买合法代码签名证书,为其恶意软件增添了一层表面真实性。这些证书来自"GALVIN & ASSOCIATES LLC"和"THE COMB REIVERS LIMITED"等实体,帮助恶意软件绕过通常会对未签名可执行文件发出警告的安全控制机制。
技术指标
ExpelSecurity 分享了供网络防御人员参考的安全指标:
伪造 PuTTY 安装程序 IoC
- 伪造 PuTTY MD5:f42dae36a47882391da920ce56f497b8,由"GALVIN & ASSOCIATES LLC"签名
- 持久化组件 MD5:18b77f4f10e0a17341fdfb2371e88fb2,由"Shanxi Jiusheng Tongtai Trading Co., Ltd."签名
- 持久化组件 MD5:90f0412fa7e5f3cd5f84cb80f951d539,由"THE COMB REIVERS LIMITED"签名
- 相关域名:fmwyd[.]com、put[.]mxcue[.]com、mvmmoving[.]com、putty[.]run
网络安全专家建议将广告拦截器作为防御恶意广告的第一道防线。企业应增强检测能力,快速识别和响应可疑活动,特别是关注从用户目录运行的定时任务和进程。系统管理员应仅从官方供应商网站下载软件,并在安装前验证数字签名。
扫一扫
198
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
