Использование плагинов Notepad++ для уклонения и персистентности

security IOC

Аналитики команды Cybereason GSOC проанализировали специфическую технику, использующую плагины Notepad++ для сохранения и обхода механизмов безопасности на машине.

Ключевые моменты

  • Популярность может привести к увеличению поверхности атаки: Notepad++ - чрезвычайно популярный инструмент, который установлен практически в каждой среде, связанной с ИТ.
  • Угрозы уже злоупотребляют Notepad++: APT-группы, такие как StrongPity, были замечены в использовании Notepad++ для установки бэкдоров на машины своих жертв.
  • Расширенная функция плагинов: Notepad++ имеет продвинутый механизм плагинов, который может быть использован субъектами угроз для сохранения и обхода безопасности.
  • Отсутствие процесса верификации в Notepad++: Не было замечено процесса проверки для локально установленных плагинов, что позволяет субъектам угроз с привилегиями локального администратора внедрять свои собственные вредоносные DLL в процесс загрузки.

Indicators of Compromise

SHA256

  • 90bc7fa90705148d8ffeef9c3d55f349611905d3f7a4ad17b956cd7ee7a208af
SEC-1275-1
Добавить комментарий