2025年6月から12月の間に、Lotus Blossomとして知られている国家支援の脅威グループがNotepad++の公式ホスティングインフラに侵入することに成功しました。
ハッカーは共有ホスティング環境内の脆弱性を悪用し、Notepad++のアップデートサーバー向けのトラフィックに不正アクセスしました。
この侵害により、攻撃者はソフトウェアアップデートを傍受・改ざんし、主に東南アジアに位置する選ばれた被害者に悪意のあるアップデートを提供することができました。
対象となったセクターには、政府、通信、および重要インフラ産業が含まれました。攻撃者はこのインフラレベルの侵害を利用して、Cobalt Strike BeaconやChrysalisバックドアを含むカスタムマルウェアを配信しました。
これらの高度なツールの使用により、彼らは永続的なアクセスを維持し、検出を回避することができました。
当初は東南アジアに焦点を当てていましたが、キャンペーンは米国、南米、ヨーロッパなど他の地域に拡大し、エネルギー、金融、クラウドホスティング、製造業などのセクターに影響を与えました。
攻撃者はNotepad++のアップデータの古いバージョン、特にWinGUpコンポーネントを利用して、検証管理の脆弱性を悪用しました。これにより、Notepad++の更新を試みるユーザーを悪意のあるサーバーにリダイレクトすることができました。
一見正規のアップデートをダウンロードした被害者は、NSISインストーラー経由のカスタムマルウェアに感染し、多段階の感染プロセスが開始されました。
攻撃はDLLサイドローディングとLuaスクリプトインジェクションの両方を採用しており、これらはセキュリティを回避してペイロードを注入するために一般的に使用される方法です。
1つの感染チェーンはBitdefenderのコンポーネントを関与させており、log.dllという名前の悪意のあるDLLをサイドロードしてChrysalisバックドアを実行しました。
別のチェーンはLuaスクリプトを使用してCobalt Strike Beaconを展開し、これは広く知られている侵入テストツールですがサイバー攻撃に転用されています。これらのペイロードは被害者のシステムに対するリモートコントロールを確立し、侵害されたネットワークのさらなる悪用を促進するように設計されていました。
Chrysalisバックドアは、Microsoft Warbirdを使用することやカスタムAPIハッシングを含む、いくつかの高度な回避技術を実証しました。これはアンチウイルス検出を回避するためです。
マルウェアはまた低プロファイル設計を特徴としており、これにより長期間の検出を回避するのに役立ちました。感染したシステムへの永続的なアクセスを維持する能力により、主要インフラ運用者、管理者、開発者を対象とするサイバースパイ活動にとって魅力的なツールとなりました。
コマンド・アンド・コントロール(C2)サーバーとの通信は段階的に行われ、攻撃者は検出を回避するためにIPアドレスを切り替えました。
政府やクラウドホスティングなどの戦略的に重要なセクターへの攻撃者の焦点は、即座の破壊を引き起こすのではなく、機密情報を収集する長期的な目的を強調しています。
Notepad++サプライチェーン攻撃は、国家支援の脅威行為者によって採用された戦術の重要な発展です。
大規模なインフラシステムを標的とする従来の方法とは異なり、この攻撃は特にシステム管理者と開発者を対象とし、特権ユーザーセッションへのアクセスを獲得しました。
広範なに基づく攻撃から高度に標的化されたキャンペーンへのこの戦略的な転換は、サイバースパイ活動の運用の増加する洗練さを示しています。
攻撃に対応して、Notepad++はソフトウェアとホスティング環境に重要な更新を加え、セキュリティ慣行を強化し、アップデートプロセスに検証ステップを追加しました。
翻訳元: https://cyberpress.org/lotus-blossom-breaches-notepad-servers/