1.媒體來源:ithome 2.記者署名:周峻佑 3.完整新聞標題: Notepad++供應鏈攻擊出現三波活動，澳、菲、越、薩等國用戶成目標 4.完整新聞內文: 針對Notepad++供應鏈攻擊事故的調查，資安公司卡巴斯基公布更完整的調查結果，指出 駭客的活動大致可分成3波，前兩次偏向偵察、確認目標，以及測試，第三波才散布後門 程式Chrysalis 前幾天公布鎖定Notepad++軟體更新機制的供應鏈攻擊，目前已知最早可追溯到2025年6月 ，並在12月2日活動才完全停止，資安公司Rapid7也表示，攻擊者的身分是外號為Lotus Blossom、Billbug、Thrip的中國APT駭客組織所為，有最新的調查結果指出，駭客在不到 半年的時間裡，透過3個階段的手法，發動目標式攻擊。 資安公司卡巴斯基指出，他們看到駭客在濫用Notepad++基礎設施的攻擊行動裡，從7月至 10月不斷輪換散布惡意更新的C2伺服器IP位址、惡意程式下載工具，以及最終有效酬載。 總共僅有十多臺電腦遭到攻擊，這些電腦部分屬於越南、薩爾瓦多，以及澳洲用戶，但也 有菲律賓政府機關、薩爾瓦多金融機構，以及越南IT服務供應商受害。儘管受害電腦數量 不多，不過駭客總共利用3種型態的攻擊鏈來達到目的。 第一條攻擊鏈主要出現在7月至8月期間，屬於相對早期且偏向偵察導向的攻擊模式。當使 用者透過Notepad++更新機制下載更新時，會被植入約為1 MB的惡意NSIS安裝檔。該程式 啟動後，首先蒐集受害電腦的基本系統資訊，例如作業系統版本、使用者權限，以及環境 設定，並將資料回傳至遠端控制伺服器。 接著在完成後，駭客試圖執行第二階段有效酬載，他們利用多媒體應用程式ProShow系列 軟體的主程式ProShow.exe，來啟動惡意酬載。卡巴斯基強調，有別於大部分攻擊行動會 使用DLL側載手法，這些駭客為了避免活動被察覺，他們選擇利用ProShow的已知漏洞來達 到目的（該公司未透露漏洞編號）。 對於駭客使用的有效酬載，當中包含了兩個Shellcode，分別位於有效酬載的程式碼開頭 與中間，位於開頭的Shellcode內含無意義的指令，疑似用來混淆資安人員與分析系統； 另一個Shellcode則會解密Metasploit下載工具，但卻會從遠端接收Cobalt Strike的 Beacon。除此之外，後來卡巴斯基也看到駭客利用Notepad++更新機制傳遞Cobalt Strike 的情況。該公司認為，這波活動的主要目的，在於篩選高價值目標，並為後續滲透行動做 準備。值得注意的是，卡巴斯基特別提及，駭客使用的惡意更新伺服器的URL，直到9月底 有臺灣用戶察覺異常，提交到惡意軟體分析平臺VirusTotal進行掃描。 第二條攻擊鏈出現在2025年9月，這次駭客使用的惡意更新檔案僅有140 KB，他們藉此執 行Shell指令，取得受害電腦的系統資訊並傳送至temp[.]sh，然後在磁碟植入下個階段的 有效酬載並啟動。 這次駭客假裝是執行Adobe應用程式的自動化指令碼，他們的NSIS安裝檔案內含的元件， 全數看似無害且與Lua解譯器有關，駭客執行Shell指令編譯Lua指令碼，以此將Shellcode 置入記憶體，並透過API功能函式啟動。此Shellcode為Metasploit下載工具，駭客以此下 載Cobalt Strike的Beacon。 根據新的攻擊鏈手法，顯示攻擊者已根據前期回收的資訊進行調整。此階段的惡意程式不 僅蒐集系統資訊，還具備更完整的下載與執行能力，可依指令從遠端伺服器載入其他模組 。相較第一階段，這條攻擊鏈的控制能力明顯提升，代表攻擊者已開始對特定受害者展開 更深入的操作，而非僅停留在情報蒐集層級。 第三條攻擊鏈則在2025年10月初浮現，這次駭客更動C2的IP位址，但整個流程與前兩波手 法最大的不同，在於駭客並未回傳受害電腦的系統資訊。這次駭客於受害電腦植入合法的 執行檔BluetoothService.exe、惡意DLL檔log.dll，以及經加密處理的Shellcode，駭客 透過DLL側載部署後門程式Chrysalis。這部分的攻擊鏈與Rapid7的發現相同，不過，卡巴 斯基強調，駭客這次並未使用Cobalt Strike。 整體而言，這三條攻擊鏈反映出攻擊者高度彈性的作戰策略，從初期的目標篩選、中期的 精準控制，到後期的持久化後門部署，逐步加深對受害系統的掌控。卡巴斯基指出，這種 分階段演進的供應鏈攻擊，已成為近年高階威脅行動的典型樣態，也凸顯更新機制一旦遭 濫用，可能帶來長期風險。 5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體: https://www.ithome.com.tw/news/173781 6.備註: 快更新 快更新 快更新 https://notepad-plus-plus.org/downloads/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.250.152.46 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1770288884.A.A30.html