Сложная цепочка атак: Компрометация Notepad++ использовалась для целевых атак

В течение четырёх месяцев, с июля по октябрь 2025 года, атакующие, получившие контроль над серверами обновлений Notepad++, постоянно меняли адреса командных серверов, загрузчики для доставки вредоносных имплантов, а также финальные полезные нагрузки (payload). Целями стали около дюжины машин, принадлежащих частным лицам во Вьетнаме, Сальвадоре и Австралии, а также правительственной организации на Филиппинах, финансовой структуре в Сальвадоре и IT-провайдеру во Вьетнаме. Несмотря на разнообразие методов, решения "Лаборатории Касперского" смогли заблокировать выявленные атаки по мере их возникновения.

Первая цепочка: конец июля - начало августа 2025 года

Первые вредоносные обновления появились в конце июля. Злоумышленники разместили файл "update.exe" на скомпрометированном сервере. Этот файл, представлявший собой установщик NSIS, запускался легитимным процессом обновления Notepad++ "GUP.exe". При запуске он собирал системную информацию, выполняя команды "whoami" и "tasklist", и загружал результаты на файлообменный сервис "temp[.]sh", передавая ссылку в заголовке User-Agent на сервер атакующих.

Затем установщик сбрасывал в систему набор файлов, включая легитимный исполняемый файл "ProShow.exe". Вместо популярной техники подгрузки DLL (DLL sideloading) атакующие использовали старую уязвимость в программном обеспечении ProShow. Вредоносный код, содержащий два шеллкода (shellcode), в конечном итоге загружал и исполнял имплант Cobalt Strike Beacon, который связывался с командным сервером "cdncheck.it[.]com". В начале августа схема повторилась с небольшими изменениями в URL-адресах.

Вторая цепочка: середина и конец сентября 2025 года

Через полтора месяца атаки возобновились с обновлённой тактикой. Вредоносный "update.exe" теперь собирал расширенную системную информацию, включая данные "systeminfo" и "netstat -ano". В качестве следующей стадии использовался скомпилированный скрипт на языке Lua, который размещал и исполнял шеллкод в памяти через API-функцию "EnumWindowStationsW". Этот шеллкод, как и ранее, был загрузчиком Metasploit, который скачивал полезную нагрузку Cobalt Strike Beacon.

К концу сентября атакующие снова модифицировали процесс сбора информации, разбив одну команду на несколько последовательных. Также они сменили домены для загрузки системной информации и для работы Beacon на "self-dns.it[.]com" и "safe-dns.it[.]com", обновив user agent для маскировки под обычный браузер.

Третья цепочка: октябрь 2025 года

В октябре тактика снова изменилась. Атакующие переключились на новый сервер для распространения обновлений и отказались от сбора системной информации на этом этапе. Установщик сбрасывал в систему легитимный файл "BluetoothService.exe" и вредоносную DLL "log.dll". Эта цепочка полагалась на технику подгрузки DLL (DLL sideloading), чтобы выполнить зашифрованный шеллкод в контексте легитимного процесса. Финальной полезной нагрузкой в этой цепочке был кастомный бэкдор Chrysalis, что часто связывается с китайскоязычными угрозами.

При этом эксперты отмечают сходства между Beacon, описанным в ходе реагирования на инцидент компанией Rapid7, и полезными нагрузками из первых цепочек: схожие URL для загрузки, одинаковый XOR-ключ "CRAZY" для шифрования конфигурации и похожие адреса C2-серверов.

Возвращение второй цепочки и ротация URL
В середине октября атакующие снова стали использовать вторую цепочку, но уже с другого IP-адреса. К концу месяца они начали экспериментировать с именами распространяемых файлов ("install.exe", "AutoUpdater.exe"), используя как вторую, так и третью цепочки выполнения. После ноября 2025 года новые развёртывания вредоносных обновлений обнаружены не были.

Выводы и рекомендации по обнаружению

Атака на цепочку поставок Notepad++ демонстрирует высокий уровень адаптивности и изощрённости злоумышленников, которые целенаправленно атаковали избранные жертвы и ежемесячно меняли схемы компрометации. Для поиска следов подобных атак специалистам информационной безопасности рекомендуется применять многоуровневый подход.

Во-первых, следует проверять системы на факты запуска установщиков NSIS, которые использовались во всех наблюдаемых цепочках. Например, можно искать в журналах события создания временной директории "%localappdata%\Temp\ns.tmp". Во-вторых, полезно анализировать сетевой трафик на предмет разрешения DNS-имени "temp[.]sh", что нетипично для корпоративных сетей, а также искать HTTP-запросы, где URL этого сервиса встроен в заголовок User-Agent. В-третьих, необходимо отслеживать выполнение подозрительных команд, таких как "whoami", "tasklist", "systeminfo" и "netstat -ano", особенно если они выполняются последовательно из одного процесса. Наконец, критически важно использовать опубликованные индикаторы компрометации (IoC, Indicators of Compromise) для поиска известных вредоносных доменов и файлов.

URLs

• http://124.222.137.114:9999/3yZR31VK
• http://124.222.137.114:9999/api/Info/submit
• http://124.222.137.114:9999/api/updateStatus/v1
• http://45.32.144.255/update/update.exe
• http://45.76.155.202/list
• http://45.76.155.202/update/update.exe
• http://59.110.7.32:8880/api/getBasicInfo/v1
• http://59.110.7.32:8880/api/Metadata/submit
• http://59.110.7.32:8880/uffhxpSy
• http://95.179.213.0/update/AutoUpdater.exe
• http://95.179.213.0/update/install.exe
• http://95.179.213.0/update/update.exe
• https://45.77.31.210/api/FileUpload/submit
• https://45.77.31.210/api/update/v1
• https://45.77.31.210/users/admin
• https://api.skycloudcenter.com/a/chat/s/70521ddf-a2ef-4adf-9cf0-6d8e24aaa821
• https://api.wiresguard.com/api/FileUpload/submit
• https://api.wiresguard.com/api/getInfo/v1
• https://api.wiresguard.com/update/v1
• https://api.wiresguard.com/users/system
• https://cdncheck.it.com/api/FileUpload/submit
• https://cdncheck.it.com/api/getInfo/v1
• https://cdncheck.it.com/api/Metadata/submit
• https://cdncheck.it.com/api/update/v1
• https://cdncheck.it.com/users/admin
• https://safe-dns.it.com/dns-query
• https://safe-dns.it.com/help/Get-Start
• https://safe-dns.it.com/resolve
• https://self-dns.it.com/list

SHA1

• 06a6a5a39193075734a32e0235bde0e979c27228
• 07d2a01e1dc94d59d5ca3bdf0c7848553ae91a51
• 0d0f315fd8cf408a483f8e2dd1e69422629ed9fd
• 13179c8f19fbf3d8473c49983a199e6cb4f318f0
• 21a942273c14e4b9d3faa58e4de1fd4d5014a1ed
• 2a476cfb85fbf012fdbe63a37642c11afa5cf020
• 3090ecf034337857f786084fb14e63354e271c5d
• 4c9aac447bf732acc97992290aa7a187b967ee2c
• 573549869e84544e3ef253bdba79851dcde4963a
• 73d9d0139eaf89b7df34ceeb60e5f8c7cd2463bf
• 7e0790226ea461bcc9ecd4be3c315ace41e1c122
• 813ace987a61af909c053607635489ee984534f4
• 821c0cafb2aab0f063ef7e313f64313fc81d46cd
• 8e6e505438c21f3d281e1cc257abdbf7223b7f5a
• 90e677d7ff5844407b9c073e3b7e896e078e11cd
• 94dffa9de5b665dc51bc36e2693b8a3a0a4cc6b8
• 9c0eff4deeb626730ad6a05c85eb138df48372ce
• 9c3ba38890ed984a25abb6a094b5dbf052f22fa7
• 9fbf2195dee991b1e5a727fd51391dcc2d7a4b16
• bd4915b3597942d88f319740a9b803cc51585c4a
• c68d09dd50e357fd3de17a70b7724f8949441d77
• ca4b6fe0c69472cd3d63b212eb805b7f65710d33
• d0662eadbe5ba92acbd3485d8187112543bcfbf5
• d7ffd7b588880cf61b603346a3557e7cce648c93
• f7910d943a013eede24ac89d6388c1b98f8b3717

Malicious file paths

• %appdata%\ProShow\load
• %appdata%\Adobe\Scripts\alien.ini
• %appdata%\Bluetooth\BluetoothService