Новые IoC в атаке на цепочку поставок Notepad

СегодняСегодня

~1 мин

++ Эксперты Kaspersky проанализировали атаку на цепочку поставок с заражёнными обновлениями Notepad++, которая продолжалась до декабря 2025 года. Злоумышленники регулярно меняли адреса C2, модифицировали цепочки заражения и вредоносную нагрузку. С июля по октябрь 2025 года было выявлено минимум три разные цепочки заражения: • Использование старой уязвимости в ProShow для запуска Metasploit и импланта Cobalt Strike • Запуск Metasploit из скрипта Lua • Техника DLL sideloading для подгрузки вредоносного кода в контексте BluetoothService и развёртывания бэкдора Chrysalis Жертвами атаки стали IT-поставщики, государственные и финансовые организации в Австралии, Латинской Америке и Юго-Восточной Азии. Ключевые признаки атаки: • Применение инсталлятора NSIS на первом этапе • Использование домена temp[.

Новые IoC в атаке на цепочку поставок Notepad++

Эксперты Kaspersky проанализировали атаку на цепочку поставок с заражёнными обновлениями Notepad++, которая продолжалась до декабря 2025 года. Злоумышленники регулярно меняли адреса C2, модифицировали цепочки заражения и вредоносную нагрузку.

С июля по октябрь 2025 года было выявлено минимум три разные цепочки заражения:

• Использование старой уязвимости в ProShow для запуска Metasploit и импланта Cobalt Strike

• Запуск Metasploit из скрипта Lua

• Техника DLL sideloading для подгрузки вредоносного кода в контексте BluetoothService и развёртывания бэкдора Chrysalis

Жертвами атаки стали IT-поставщики, государственные и финансовые организации в Австралии, Латинской Америке и Юго-Восточной Азии.

Ключевые признаки атаки:

• Применение инсталлятора NSIS на первом этапе

• Использование домена temp[.