导 读
Arctic Wolf (北极狼)安全研究人员发现一种狡猾的网络安全威胁,攻击者利用搜索引擎优化 (SEO) 投毒和恶意广告策略来分发广泛使用的 IT 工具(如 PuTTY 和 WinSCP)的木马版本。
攻击活动针对 IT 专业人员和系统管理员,这些人依赖这些工具进行安全文件传输和远程系统管理。
恶意广告活动曝光
攻击者通过操纵搜索引擎结果并在 Bing 等平台上投放恶意赞助广告,创建了一个模仿合法来源的欺骗性虚假网站。
毫无戒心的用户从这些欺诈网站下载会无意中安装恶意软件,对个人系统和组织安全构成重大风险。
恶意网站托管了PuTTY和WinSCP的木马安装程序,这些安装程序在执行后会部署名为Oyster或Broomstick的后门。
这些后门允许攻击者未经授权访问受感染的系统,可能导致数据盗窃、网络内横向移动或进一步的恶意软件部署。
持久性机制解析
为了确保持久性,该恶意软件创建了每三分钟执行一次的计划任务,利用名为 twain_96.dll 的恶意 DLL 文件。
该 DLL 通过 rundll32.exe 使用 DllRegisterServer 导出执行,该技术滥用 DLL 注册过程以在受感染的系统上保持立足点。
虽然只有 PuTTY 和 WinSCP 被确认为此次攻击的目标,但 Arctic Wolf 警告称,其他 IT 工具也可能被用作类似攻击的武器,并敦促各方提高警惕。
单个受感染的系统可能成为更广泛的网络入侵的入口点,因此组织必须迅速采取行动。
Arctic Wolf 强烈建议IT 团队和用户避免依赖搜索引擎下载管理工具,建议仅从经过审查的内部存储库或直接从官方供应商网站获取软件。
新闻链接:
https://gbhackers.com/hackers-manipulate-search-results-to-target-it-pros/
原文始发于微信公众号(军哥网络安全读报):黑客利用SEO投毒传播PuTTY和WinSCP木马版本,攻击针对IT专业人士
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论