Hackers Using PuTTY for Both Lateral Movement and Data Exfiltration
2025/12/19 CyberSecurityNews — 人気の PuTTY SSH クライアントを悪用するハッカーたちが、侵入したネットワーク内でのステルス的なラテラル・ムーブメントやデータ窃取を活発化させているようだ。これらの攻撃のフォレンジック痕跡が示すのは、その巧妙な侵害の手口である。最近の調査で明らかになったのは、ファイル・システム上の大半の証拠を消去した後に、Windows レジストリに永続化のための痕跡 (アーティファクト) を残す手法へと移行する、脅威アクターたちの戦術の転換である。
それらの攻撃者は、安全なリモート・アクセスのための正規のツール PuTTY を好んで悪用している。その理由は、悪意のアクティビティを通常の管理タスクと組み合わせる、 “LOL:Living off the Land (環境寄生型)” の性質を介して、正規の操作に攻撃を紛れ込ませることにある。
“plink.exe”/”pscp.exe” などの PuTTY バイナリを実行する攻撃者は、SSH トンネルを介してシステム間を移動し、カスタム・マルウェアを展開することなく、機密ファイルを盗み出していく。
SEO 対策された悪意のページにおいて、Oyster バックドアを取り込んだ PuTTY のダウンロードなどを展開する攻撃キャンペーンが増加している。この初期感染により、ネットワーク・ピボットや HTTP POST を介した、アウトバウンド・データ窃取が可能になる。
Maurice Fielenbach が発見したのは、ログとアーティファクトの徹底的なクリーンアップにもかかわらず、PuTTY が SSH ホストキーをレジストリ “HKCU\Software\SimonTatham\PuTTY\SshHostKeys” に保存していることだった。
この研究者は、「接続時からの正確なターゲット IP/ポート/フィンガープリントが、この場所に記録される。それらは、デジタル・ブレッドクラム・トレイルとして機能する。イベントログが乏しい場合でも、これらのエントリを認証ログやネットワーク・フローと関連付けることで、攻撃者の経路を再構築できる」と述べている。
DarkSide ランサムウェアや北朝鮮 APT などのグループは、権限昇格と永続化のために同様の SSH 戦術を用いている。
2025年の半ばにマルウェアの波が押し寄せ、トロイの木馬化された PuTTY が Windows 管理者を標的とし、急速な横展開を可能にし始めた。PuTTY は IT ワークフローを模倣するため検出が困難であるが、侵入後の異常な RDP スキャンや不規則な SSH トラフィックなどが、Darktrace などのツールにより検知されることも多い。
セキュリティ・チームにとって必要なことは、エンドポイント検出プラットフォーム/レジストリキーの探索/非標準ポートからの SSH 監視などを通じて、PuTTY の使用状況のベースラインを設定することである。Velociraptor アーティファクトは SshHostKeys のクエリを簡素化し、ネットワーク・テレメトリは異常なデータ流出パターンを検知する。
PuTTY の脆弱性 CVE-2024-31497 などにパッチを適用することで、永続化を支援する鍵復旧攻撃を阻止できる。ユーザー企業にとって必要なことは、脅威アクターたちの回避策を防ぐために SSH 鍵をローテーションし、PuTTY の使用をホワイトリスト登録で制限することである。
この問題の原因は、広く信頼されている正規ツール PuTTY の性質が、攻撃者の活動に悪用されてしまったことにあります。PuTTY はシステム管理に欠かせないツールですが、それを悪用する攻撃者たちは、自身の不正な動きを通常の管理業務に見せかけて隠しています。また、偽のダウンロードサイトを通じて、ウイルスを仕込んだ偽物の PuTTY を配布する手口も確認されています。ただし、接続先の情報を Windows のレジストリに自動で記録するツールの仕様が、結果として攻撃者の足取りを辿る手がかりにもなっています。正規のツールであっても、入手元を厳選し、使用状況を適切に管理することが求められています。ご利用のチームは、ご注意ください。よろしければ、PuTTY での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.