Аналитики команды Cybereason GSOC проанализировали специфическую технику, использующую плагины Notepad++ для сохранения и обхода механизмов безопасности на машине.
Ключевые моменты
- Популярность может привести к увеличению поверхности атаки: Notepad++ - чрезвычайно популярный инструмент, который установлен практически в каждой среде, связанной с ИТ.
- Угрозы уже злоупотребляют Notepad++: APT-группы, такие как StrongPity, были замечены в использовании Notepad++ для установки бэкдоров на машины своих жертв.
- Расширенная функция плагинов: Notepad++ имеет продвинутый механизм плагинов, который может быть использован субъектами угроз для сохранения и обхода безопасности.
- Отсутствие процесса верификации в Notepad++: Не было замечено процесса проверки для локально установленных плагинов, что позволяет субъектам угроз с привилегиями локального администратора внедрять свои собственные вредоносные DLL в процесс загрузки.
Indicators of Compromise
SHA256
- 90bc7fa90705148d8ffeef9c3d55f349611905d3f7a4ad17b956cd7ee7a208af