СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 марта
#ИБ

Notepad++ supply-chain: CVE-2025-15556 и кампания Lotus Blossom

Атака на механизм обновлений Notepad++, идентифицированная как CVE-2025-15556, выявила критический недостаток в компоненте обновления WinGUP. В течение 2025 года злоумышленники перехватывали законные запросы на обновление и перенаправляли их на вредоносные серверы, доставляя троянские исполняемые файлы, маскирующиеся под легитимные патчи. Кампания получила название Lotus Blossom и была атрибутирована к изощрённой китайской государственной хакерской группировке.

Суть уязвимости

Проблема заключалась в отсутствии проверки подписи целостности загружаемых установщиков: WinGUP не верифицировал цифровую подпись скачиваемых файлов. Это позволяло злоумышленникам с помощью атак Man-in-the-Middle (MitM) или отравления кэша DNS подменять URL обновлений и подавать пользователям поддельные установщики.

«Отсутствие проверки подписи сделало механизм обновлений доверчивым к внешним ресурсам и позволило поставить вектор для цепочки поставок»

Как разворачивалась кампания Lotus Blossom

Атака разворачивалась в три отдельных этапа с июля по октябрь 2025 года. Каждый этап был направлен на повышение скрытности и удержание доступа в компрометированных средах:

  • Этап 1 (июль): Использовался NSIS-установщик объёмом ~1 МБ для запуска многоэтапной загрузки — в результате разворачивался Cobalt Strike Beacon через компонент ProShow.exe.
  • Этап 2: Установщик уменьшили до ~140 КБ и внедрили ротацию URL-адресов для управления (C2), что повысило скрытность и усложнило детектирование; также продолжалась доставка модулей Cobalt Strike.
  • Этап 3 (октябрь): Удалялись дополнительные вредоносные компоненты, например BluetoothService.exe и Logon.dll, а также разворачивался бекдор Chrysalis, обеспечивающий долгосрочный доступ.

TTP и сопоставление с MITRE ATT&CK

Тактика, инструменты и процедуры (TTP) кампании были сопоставлены с фреймворком MITRE ATT&CK. Среди задокументированных приёмов:

  • Выполнение с участием пользователя — Malicious File (User Execution: Malicious File)
  • Перехват потоков выполнения с помощью библиотек DLL (DLL hijacking / side-loading)
  • Process injection и другие техники внедрения кода
  • Методы уклонения: маскировка и запутывание файловой информации, ротация C2-адресов

Последствия и индикаторы компрометации

Вредоносная нагрузка включала модули, характерные для кампаний по установлению удалённого контроля и постэксплуатации — Cobalt Strike Beacon, последующие бекдоры и вспомогательные загрузчики. ИК (индикаторы компрометации), на которые следует обратить внимание при расследовании:

  • Неожиданные установщики NSIS, особенно с сетевыми компонентами
  • Файлы ProShow.exe, BluetoothService.exe, Logon.dll, Chrysalis — их появление в системных путях и автозагрузке
  • Аномальные исходящие соединения к неизвестным или полиморфным доменам (частая ротация C2)
  • Процессы с инжектированным кодом и признаки process injection

Рекомендации по снижению рисков

Организациям рекомендуется занять активную позицию по снижению рисков, связанных с CVE-2025-15556. Набор первоочередных мер:

  • Немедленно обновить все экземпляры Notepad++ до версии 8.9.1 или выше — в ней реализована проверка цифровой подписи загрузок.
  • Провести аудит системных путей и автозагрузки на предмет закрепления вредоносных файлов (поиск ProShow.exe, BluetoothService.exe, Logon.dll и пр.).
  • Усилить сетевую защиту: мониторить и блокировать трафик к известным вредоносным доменам, настроить IDS/IPS на выявление аномалий и подозрительных C2-соединений.
  • Внедрить и усилить EDR/Endpoint protection с возможностью предотвращения подозрительного поведения и детектирования process injection.
  • Использовать контроль целостности и верификацию цифровых подписей для исполняемых файлов, а также ограничить запуск ПО с ненадёжных путей.
  • Укрепить DNS- и сетевые механизмы: применять DNSSEC, защищённый TLS, жёсткие политики egress-фильтрации и denylist для подозрительных ресурсов.
  • Организовать hunt-операции и ретроспективный анализ логов: проверка на наличие Cobalt Strike Beacon-активности, аномалий в сетевых соединениях и попыток латерального перемещения.

Заключение

Атака CVE-2025-15556 продемонстрировала, как уязвимость в механизме обновлений может обернуться масштабной цепочкой поставок с долгосрочными последствиями для организаций. Обновление пострадавшего ПО — самое срочное и ключевое действие, однако полноценная защита требует комплексного подхода: аудитов, сетевых и endpoint-контролей, а также постоянного мониторинга и проактивного реагирования на индикаторы компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: