一场针对系统管理员的复杂搜索引擎优化（SEO）投毒及恶意广告活动浮出水面，其借助带有后门的恶意软件实施攻击。

Arctic Wolf安全研究人员发现，自2025年6月初以来，一场危险的搜索引擎优化投毒与恶意广告活动持续针对着IT专业人员。

该活动利用虚假网站托管植入木马的热门IT工具（特别是PuTTY和WinSCP），在受害者系统上安装后门恶意软件。

活动概述

此恶意活动通过操纵搜索引擎，推广模仿正规软件仓库的虚假下载站点。当IT专业人员搜索这些必备工具时，会看到赞助广告和被投毒的搜索结果，这些结果会将其重定向至攻击者控制的域名。

主要目标工具包括：

PuTTY：一款用于安全远程连接的热门SSH客户端WinSCP：一款用于安全文件传输的SFTP/FTP客户端

攻击技术细节

受害者下载并执行植入木马的安装程序后，会在不知情的情况下安装名为Oyster/Broomstick的复杂后门。该恶意软件采用高级持久化机制，对企业环境构成严重威胁。

后门通过以下方式实现持久化：

每三分钟执行一次的计划任务通过exe执行恶意DLL（twain_96.dll）利用DllRegisterServer导出函数进行DLL注册

该活动专门针对IT专业人员和系统管理员，因为这些用户在企业网络中通常拥有高级权限。这使其成为威胁actors的重要目标，攻击者旨在：

在企业网络中快速传播访问组织敏感数据控制域控制器部署额外恶意软件载荷，包括勒索软件

此次攻击利用了IT专业人员频繁下载管理工具的需求，使得社会工程学手段尤为奏效。许多管理员依赖搜索引擎快速查找软件，这为攻击者创造了通过恶意结果拦截搜索的机会。

Arctic Wolf已识别出与该活动相关的多个域名，各组织应立即屏蔽：

updaterputty[.]comzephyrhype[.]computty[.]runputty[.]betputtyy[.]org

给组织的建议

禁止员工使用搜索引擎查找管理工具建立经过审核的内部软件仓库要求直接访问官方供应商网站实施严格的IT工具下载政策

在防火墙层面屏蔽已识别的恶意域名实施DNS过滤，防止访问已知恶意域名监控可疑计划任务和DLL执行情况部署端点检测与响应（EDR）解决方案

该活动标志着针对IT基础设施的定向攻击出现了令人担忧的新变化。类似的搜索引擎优化投毒活动已大幅增加，网络安全专家指出，2024年相关攻击增幅达103%。

对必备IT工具的攻击表明，威胁actors正不断调整策略，利用受害者的日常工作流程实施攻击。

此次活动的发现凸显了实施强健网络安全措施的极端重要性，尤其是在软件获取和端点防护方面。各组织必须保持警惕，因为攻击者正持续改进技术，以绕过传统安全措施，并将目标对准那些负责维护网络安全的专业人员。