Notepad++ Plugins Allow Attackers to Infiltrate Systems, Achieve Persistence
2022/09/15 InfoSecurity — Notepad++ プラグインの悪用に成功した行為アクターたちが、セキュリティ機構を回避し、被害者のマシン上で永続性を確保する可能性があることを、セキュリティ企業 Cybereason の最新調査結果が示唆している。同社の水曜日のアドバイザリには、「オープンソース・プロジェクトである Notepad++ Plugin Pack を用いて、RastaMouse と名乗るセキュリティ研究者が、永続化メカニズムとして使用できる悪意のプラグインの構築方法を実証した」と記している。
このプラグイン・パック自体は、プラグインを構築するための基本的なテンプレートを提供する、Visual Studio 用の .NET パッケージに過ぎない。しかし、複数の APT (Advanced persistent threat) グループが、過去において Notepad++ のプラグインを悪用したことがある。
Cybereason は、「APT グループ StrongPityは 、悪意の実行ファイルを伴う正規のNotepad++ インストーラを悪用し、マシン上で再起動した後に、それを持続させることで知られている。このバックドアにより、脅威アクターはマシン上にキーロガーをインストールして C2 サーバと通信し、このソフトウェアの出力を送信できる」と述べている。
Cybereason チームはアドバイザリで、Notepad++プラグインのロード機構を分析し、このベクターに基づく攻撃シナリオを解説している。セキュリティ専門家たちは、C# プログラミング言語を使用して、Notepad++ 内の任意のキーの最初のプレスで PowerShell コマンドを実行する DLL を作成した。
同社は、「この攻撃シナリオでは、PowerShell コマンドは Meterpreter ペイロードを実行する。その後に、Notepad++ を管理者として実行し、ペイロードを再実行することで、影響を受けるシステムの管理者権限を効果的に窃取することに成功した」と述べている。
セキュリティ専門家たちは、この脅威を軽減するための緩和策として、Notepad++ の異常な子プロセスを監視し、シェル製品の種類に特別な注意を払う必要があると述べている。
この攻撃シナリオの詳細については、Cybereason アドバイザリの原文リンクから入手して参照してほしい。
一般的にみて、プラグインは悪意の行為者により、攻撃ベクターとして悪用されることがよくある。たとえば、先週に Wordfence は、500万インストールされている、BackupBuddy という WordPress プラグインにゼロデイ脆弱性があることを報告している。
Notepad++ Plugin Pack という Visual Studio 用の .NET パッケージを悪用することで、永続化メカニズムとして使用できる悪意のプラグインが構築できるようです。この記事を読む限りでは、このシナリオによる攻撃は存在しませんが、この PoC エクスプロイトが公表されたことで、注意が促されています。
IoT OT Security News 
You must be logged in to post a comment.