Tin Tặc Tấn Công Quản Trị Viên CNTT Qua Công Cụ Giả Mạo PuTTY & WinSCP

Nguyễn Văn TrungNguyễn Văn Trung
4 min read

Tổng quan

Các chuyên gia từ Arctic Wolf vừa phát hiện một chiến dịch SEO Poisoning (đầu độc kết quả tìm kiếm) tinh vi, lợi dụng các trang tìm kiếm như Google và Bing để dụ dỗ quản trị viên CNTT tải về các phần mềm độc hại cải trang dưới dạng công cụ quản trị quen thuộc.

Hai công cụ đang bị khai thác phổ biến là:

  • PuTTY: Trình SSH dùng để truy cập máy chủ từ xa

  • WinSCP: Trình FTP/SFTP dùng để truyền tải dữ liệu an toàn

Chi tiết chiến dịch Giả Mạo:

Chiến dịch hoạt động từ tháng 6/2025 với các đặc điểm:

  • Các trang web giả mạo giao diện y như trang chính thức của PuTTY hoặc WinSCP.

  • Được đẩy lên top kết quả tìm kiếm hoặc xuất hiện dưới dạng quảng cáo khi người dùng tìm "putty download" hoặc "winscp download".

  • Khi nạn nhân tải xuống và cài đặt, thay vì phần mềm hợp pháp, họ vô tình cài một backdoor có tên Oyster (hay còn gọi là Broomstick) vào hệ thống.

Phân Tích Kỹ Thuật: Backdoor Nguy Hiểm Với Cơ Chế Ẩn Mình Tinh Vi

Mã độc Oyster có khả năng ẩn nấp và bám trụ lâu dài trong hệ thống, bao gồm:

  • Tạo tác vụ định kỳ (scheduled task) chạy mỗi 3 phút.

  • Thực thi DLL độc hại (twain_96.dll) qua rundll32.exe.

  • Kỹ thuật đăng ký DLL (DllRegisterServer) để đạt quyền thực thi.

Đáng chú ý, chiến dịch không nhắm đến người dùng phổ thông, mà tập trung tấn công các quản trị viên hệ thống — những người có quyền cao nhất trong hệ thống doanh nghiệp.

Mục tiêu của kẻ tấn công:

  • Xâm nhập sâu vào hệ thống mạng doanh nghiệp.

  • Lấy cắp thông tin nội bộ và dữ liệu nhạy cảm.

  • Kiểm soát máy chủ tên miền (domain controller).

  • Gieo rắc các loại mã độc khác, bao gồm cả ransomware.

Hình Thức Tấn Công Trong Thực Tế

Một trong các quảng cáo giả mạo PuTTY trên Bing đã bị ghi nhận như sau:

Quảng cáo trông không khác gì thật, trỏ tới domain như:
putty.run hoặc puttyy.org – nhưng thực chất là máy chủ độc hại điều khiển bởi tin tặc.

Xu Hướng Nguy Hiểm Đang Leo Thang

Theo thống kê, các chiến dịch SEO poisoning đã tăng hơn 100% trong năm 2024 — và xu hướng vẫn đang tiếp tục leo thang trong năm 2025.

Việc giả mạo các công cụ thiết yếu như PuTTY và WinSCP cho thấy tin tặc đang chuyển hướng nhắm vào chính những người bảo vệ hệ thống – quản trị viên CNTT.

Chiến dịch này là lời cảnh tỉnh mạnh mẽ về rủi ro khi quản trị viên vô tình tải nhầm phần mềm từ nguồn không đáng tin. Chỉ một cú click sai có thể là điểm khởi đầu cho một cuộc tấn công quy mô lớn vào hạ tầng mạng của doanh nghiệp.

Hãy cảnh giác — ngay cả khi bạn là người đang giữ chìa khóa bảo mật cho toàn bộ hệ thống

IOCs

Tổ chức nên ngay lập tức chặn truy cập đến các tên miền sau tại tường lửa và DNS:

  • updaterputty[.]com

  • zephyrhype[.]com

  • putty[.]run

  • putty[.]bet

  • puttyy[.]org

Khuyến nghị

Phía FPT Threat Intelligent cấp thiết khuyến nghị các biện pháp để phòng chống lại chiến dịch nguy hiểm trên:

Chính sách sử dụng phần mềm nội bộ

  • Cấm nhân viên IT tải phần mềm từ kết quả tìm kiếm.

  • Tạo kho phần mềm nội bộ đáng tin cậy.

  • Chỉ cho phép tải từ trang chính thức của nhà phát triển.

  • Thắt chặt quy trình phê duyệt khi tải phần mềm quản trị.

Bảo vệ ở tầng mạng và thiết bị đầu cuối

  • Chặn tên miền độc hại từ firewall/DNS.

  • Giám sát các tác vụ định kỳ và hành vi DLL bất thường.

  • Triển khai giải pháp EDR hiện đại để phát hiện hành vi backdoor.

Tham khảo

Weaponized Versions of PuTTY and WinSCP Attacking IT Admins Via Search Results

0
Subscribe to my newsletter

Read articles from Nguyễn Văn Trung directly inside your inbox. Subscribe to the newsletter, and don't miss out.

phishingthreat intelligence

Written by

Nguyễn Văn Trung
Nguyễn Văn Trung