Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Отравление поисковой оптимизации (SEO): варианта бэкдора Oyster, замаскированного под PuTTY

3 мин
Отравление поисковой оптимизации — SEO poisoning — снова используется злоумышленниками для распространения вредоносного ПО. В июне 2025 года аналитики Darktrace обнаружили кампанию, в которой злоумышленники манипулировали результатами поиска, чтобы заманить жертв на поддельные сайты и заставить скачать замаскированный клиент SSH PuTTY, содержащий бэкдор Oyster. Методология кампании сочетала классические приемы SEO-манипуляций и последующее латентное закрепление внутри корпоративной сети: Эта кампания демонстрирует развитие подходов злоумышленников: сочетание массового охвата через поисковые системы и точечного таргетинга на критичные роли внутри организаций. Такое сочетание повышает вероятность как случайных заражений, так и целенаправленных компромиссов важных ресурсов. Кампания с использованием SEO poisoning и бэкдора Oyster подчёркивает, что классические методы социальной инженерии в сочетании с гибкой инфраструктурой MaaS остаются эффективными. Защитникам необходимо сочетать проакт
Оглавление

Отравление поисковой оптимизации — SEO poisoning — снова используется злоумышленниками для распространения вредоносного ПО. В июне 2025 года аналитики Darktrace обнаружили кампанию, в которой злоумышленники манипулировали результатами поиска, чтобы заманить жертв на поддельные сайты и заставить скачать замаскированный клиент SSH PuTTY, содержащий бэкдор Oyster.

Краткая суть инцидента

  • Бэкдор Oyster (он же Broomstick или CleanUpLoader) — вредонос на основе C++, впервые зафиксирован в июле 2023 года; предоставляет remote access с возможностями взаимодействия с командной строкой и передачи файлов.
  • В июне 2025 года Darktrace зафиксировал кампанию с применением SEO poisoning: поддельные сайты выдавались за легитимные загрузки PuTTY и продвигались в результатах поиска.
  • Системы обнаружения, основанные на выявлении аномалий, помогли аналитикам оперативно нейтрализовать угрозу до масштабного распространения.

Как работает атака

Методология кампании сочетала классические приемы SEO-манипуляций и последующее латентное закрепление внутри корпоративной сети:

  • Создание фальшивых сайтов, оптимизированных под поисковые запросы, — жертвы доверяли результатам выдачи и загружали вредоносные файлы.
  • Загрузка ZIP-файла с инструментом злоумышленника; файл маскировался под PuTTY или его установочный пакет.
  • После установки отмечались исходящие HTTP-запросы, свидетельствующие о возможной эксфильтрации данных.
  • Частые RDP-сеансы следовали за DNS-запросами к поддельным доменам PuTTY — это указывает на попытки lateral movement и privilege escalation внутри сети.
  • Некоторые экземпляры использовали зашифрованные или нетипичные строки User-Agent (одна из них содержала случайные китайские иероглифы), что может служить маркером атрибуции или командой контроля, а не чисто технической деталью.

Технические особенности Oyster и тактика злоумышленников

  • Архитектура и функции: C++-бэкдор с возможностью удалённого управления, выполнения команд оболочки и пересылки файлов.
  • Гибкость распространения: различия в оперативной тактике указывают на использование модели Malware-as-a-Service (MaaS), когда один и тот же набор вредоносного ПО перепрофилируют под разные цели.
  • Маркировка и уклонение: нетипичные User-Agent и необычное сетевое поведение затрудняют автоматическую корреляцию событий и требуют внимательного анализа телеметрии.
  • Целевой фокус: кампания явно ориентировалась на ИТ-администраторов и привилегированные учётные записи, что делает потенциальный ущерб значительным.

Стратегические выводы

Эта кампания демонстрирует развитие подходов злоумышленников: сочетание массового охвата через поисковые системы и точечного таргетинга на критичные роли внутри организаций. Такое сочетание повышает вероятность как случайных заражений, так и целенаправленных компромиссов важных ресурсов.

Рекомендации по защите

  • Мониторить аномалии в сети и поведение конечных точек, включая нестандартные User-Agent и необычные исходящие HTTP-запросы.
  • Блокировать или тщательнее проверять скачивания из результатов поисковой выдачи; предпочитать официальные репозитории и вендорские сайты.
  • Контролировать DNS-запросы и оперативно реагировать на обращения к подозрительным доменам.
  • Ограничить RDP-доступы, применить Network Segmentation и строгую политику привилегий; включить многофакторную аутентификацию (MFA).
  • Использовать EDR/NGAV и системы, ориентированные на обнаружение аномалий, а также интегрировать threat intelligence для быстрого выявления известных индикаторов компрометации.
  • Проводить регулярные обучение и фишинг‑тесты для сотрудников, особенно для администраторов и пользователей с привилегиями.

Заключение

Кампания с использованием SEO poisoning и бэкдора Oyster подчёркивает, что классические методы социальной инженерии в сочетании с гибкой инфраструктурой MaaS остаются эффективными. Защитникам необходимо сочетать проактивный мониторинг, жёсткие политики доступа и внимательное управление источниками загрузок, чтобы снизить риски подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Отравление поисковой оптимизации (SEO): варианта бэкдора Oyster, замаскированного под PuTTY".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.