'Gebruikers Notepad++ in Vietnam, Australië en Filipijnen doelwit aanval'

In dit artikel:

Aanvallers hebben via de updateketen van de teksteditor Notepad++ maandenlang kwaadaardige updates verspreid, met name tussen eind juli en oktober nadat de shared hostingserver van Notepad++ in juni was gecompromitteerd. Dat blijkt uit telemetrieonderzoek van antivirusbedrijf Kaspersky; eerder meldde onafhankelijk onderzoeker Kevin Beaumont aanvallen gericht op belangen in Oost-Azië. Notepad++ bracht inmiddels beveiligingsupdates uit om het misbruikpad te dichten.

Kaspersky ontdekte een handvol getroffen systemen — ongeveer tien geïdentificeerde gevallen — waarvan slachtoffers in Vietnam, Australië en El Salvador en een overheidsinstantie in de Filipijnen deel uitmaken. Onder de doelwitten waren ook een financiële organisatie in El Salvador en een IT-dienstverlener in Vietnam. De aanvallers werkten met meerdere infectieketens, wisselden continu van verspreidingsservers en gebruikten in alle ketens NSIS-installers als payloaddrager.

Omdat de bevindingen zijn gebaseerd op Kaspersky-telemetrie, kunnen het werkelijke aantal slachtoffers en getroffen locaties veel groter zijn. Kaspersky heeft Indicatoren van Compromis (IoC) vrijgegeven en raadt organisaties aan systemen na te lopen op NSIS-installers, logbestanden te controleren op verbindingen met verdachte domeinen en de gedeelde IoC-lijsten te gebruiken om mogelijke besmetting te herkennen.