ハッカーは、最も無害に見えるツールを悪用して標的のネットワークに侵入するのが好きであり、これは私たち皆が知っていることです。
そして今回、彼らが狙っているのは人気のSSHクライアントであるPuTTYです。これは、「善人」の中に紛れ込むための変装をするようなものです。犯罪者であるハッカーがこれを好むのは、二重スパイのように有害な行為と通常の行為を混ぜ合わせられ、検知を困難にできるからです。
そこで彼らを暴くための手口が見つかりました。Windowsのレジストリに意図せず残された痕跡を追うのです。攻撃者は、SSHトンネルを介してシステム間を移動し、カスタムマルウェアを配布することなく機密ファイルを盗み出すために、plink.exeやpscp.exeといったPuTTYのバイナリを実行しています。
最近では、PuTTYのダウンロードを悪用するマルウェアキャンペーンがバックドアOysterを拡散しており、HTTP POSTリクエストを通じたネットワーク改変やデータ流出につながり得ることを明確に示しています。
セキュリティ専門家のMaurice Fielenbachも最近この件に言及し、ログやアーティファクトを積極的に消去しても、PuTTYはSSHホストキーをレジストリのHKCUSoftwareSimonTathamPuTTYSshHostKeysに保存すると報告しています。
この保存内容には、宛先のIPアドレス、ポート、接続のデジタル署名が含まれ、一種の「デジタル履歴」となります。これらのデータを認証ログやネットワークフローと相関させることで、たとえイベントログが不十分であっても、調査担当者は攻撃者が辿った経路を復元できます。
2025年を通じて、Windows管理者はトロイの木馬化されたPuTTYのマルウェア版の波に狙われ、迅速なラテラルムーブメント(横展開)を助長してきたことを忘れてはなりません。こうした脅威の検知が難しいのは、PuTTYが通常のIT業務フローの一部であるためです。しかし、侵害後に異常なRDPスキャンや不規則なSSHトラフィックを検知することで、悪意あるツールの存在を特定できる場合が多々あります。
潜伏性の高い作戦に対抗するには、企業がPuTTYの利用を許可されたホストに限定し、SSHキーを定期的にローテーションすることが不可欠です。レジストリキーの探索や、非標準ポートでのSSH活動は、セキュリティチームにとって優先的な分析対象とすべきです。
さらに、CVE-2024-31497のように、キーの回収を可能にして永続化を助長するPuTTYの脆弱性が悪用される可能性も、該当パッチを適用することで無効化できます。