Weaponized Putty and Teams Ads Deliver Malware Allowing Hackers to Access Network
2025/11/04 CyberSecurityNews — 現在進行中の悪質な広告キャンペーンでは、正規のソフトウェア配布を悪用するかたちで、OysterLoader マルウェア (旧称 Broomstick/CleanUpLoader) が展開されている。この高度な初期アクセス・ツールにより、サイバー犯罪者は企業ネットワーク環境に足掛かりを築き、Rhysida ランサムウェア集団の配信手段としての環境の悪用を可能にする。
2021年に Vice Society グループから分離した Rhysida は、2023年に名称を変更した以降において企業を標的としている。この名称変更は、法執行機関による追跡を回避するものであるが、セキュリティ研究者たちは進化を続ける戦術を監視し続けている。
Expel により発見された今回のキャンペーンは、2024年5月〜9月に実施された前回の活動の戦術を基盤としている。そして、2回目の大規模なマルバタイジング活動である 2025年6月以降において、この脅威アクターは活動の強度と範囲を大幅に拡大し、継続的な攻撃を続けている。
Rhysida の進化と持続的な脅威
Rhysida の運営者は、Bing の検索エンジン上で広告枠を購入し、説得力のある悪意のランディング・ページへと無防備なユーザーを誘導する。これらのスポンサード検索の結果は、Windows 11 のスタート・メニュー内の検索でも目立つ位置に表示され、マルウェアのダウンロード・リンクをユーザーの目の前に配置する。
Microsoft Teams/PuTTY/Zoom などの人気ソフトウェアを偽装する最近のキャンペーンにおいて、この脅威アクターは本物とほぼ同一の偽ダウンロード・ページを作成している。
この手法を実証する悪質な PuTTY 広告は、スポンサード検索の結果で “PuTTY” を意図的に “Putty” と誤表記することで、正規のリモート・アクセスツールを求めるユーザーを欺くのに十分な正当性を装っている。
OysterLoader の有効性は、主に2つの回避手法に起因する。まず、攻撃者は圧縮と難読化によりマルウェアをパックし、その真の機能をセキュリティ・ツールから隠蔽する。この処理により初期検出率は著しく低下し、新しいサンプルを検知できるアンチウイルス・エンジンは5つ未満に留まるのが常である。さらに、この脅威アクターはコード署名証明書を悪用し、Windows の信頼メカニズムを用いて正当性を装う。
この証明書の悪用状況から明らかになるのは、この攻撃手法が組織的に展開されていることである。2024年のキャンペーンでは7つの証明書が悪用されたが、2025年のキャンペーンでは 40以上の固有コード署名証明書が悪用されており、膨大なリソースの投入が示唆される。
それに加えて Expel の研究者が発見したのは、Rhysida が OysterLoader だけではなく、同時に Latrodectus マルウェアも展開していることである。この発見は、両方のマルウェア・ファミリーが同一のコード署名証明書を悪用していることに基づく。
さらに Rhysida は、Microsoft の Trusted Signing サービスを悪用することで、72時間の証明書有効期間の制限を回避している。Microsoft は、このキャンペーンに関連する 200以上の証明書を失効させたと報告しているが、攻撃活動は依然として活発である。
セキュリティ・チームにとって必要なことは、広告を悪用するマルウェア・キャンペーンに対して警戒を怠らず、ソフトウェアのダウンロードは公式チャネルのみを通じて行い、侵害を回避するよう指示することである。
この悪意のキャンペーンの要因は、検索広告を足がかりにした偽ダウンロードへの誘導と、OysterLoader の難読化や多数のコード署名証明書の悪用にあります。これらの手口により初期検知が低下し、Rhysida へつながる侵入基盤が静かに築かれると、この記事は指摘しています。よろしければ、Phishing で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.