サイバーニュース.jp

世界のサイバーなニュースを配信

「Notepad++」ホスティング侵害、中国関連ハッキンググループ「Lotus Blossom」の関与が明らかに

カテゴリ:

概要

人気のエディタ「Notepad++」のホスティングインフラに対する最近の侵害は、中国と関連があるハッキンググループ「Lotus Blossom」(別名:Billbug、Bronze Elgin、Spring Dragon、Thrip)によるものと、セキュリティ企業Rapid7が中程度の確信度で発表しました。この攻撃により、同グループは「Chrysalis」と名付けられた、これまで知られていなかったバックドア型マルウェアをNotepad++ユーザーに配信したとされています。

事案の詳細と影響

Notepad++のメンテナンス担当者であるDon Ho氏によると、攻撃者は2025年6月からホスティングプロバイダーレベルでの侵害を通じてアップデートトラフィックを乗っ取り、特定のユーザーからのリクエストを悪意のあるサーバーに選択的にリダイレクトしていました。これは、旧バージョンのNotepad++に存在していた不十分なアップデート検証制御を悪用したものです。この脆弱性は、2025年12月にリリースされたバージョン8.8.9で修正されました。

攻撃者のアクセスは2025年12月2日に遮断され、Notepad++はより強固なセキュリティを備えた新しいホスティングプロバイダーへ移行し、すべての認証情報をローテーションしました。Rapid7の分析では、アップデートメカニズムが直接マルウェアを配布するために悪用されたという証拠は発見されていません。代わりに、「notepad++.exe」および「GUP.exe」の実行後に、IPアドレス「95.179.213.0」からダウンロードされた不審なプロセス「update.exe」が実行されたことが確認されています。

バックドア「Chrysalis」の正体

「update.exe」はNullsoft Scriptable Install System(NSIS)インストーラーであり、以下の複数のファイルを含んでいました。

  • BluetoothService.exe: Bitdefender Submission Wizardを改名したもので、中国のハッキンググループが広く使用するDLLサイドローディングのために利用。
  • BluetoothService: 暗号化されたシェルコードであり、「Chrysalis」本体。
  • log.dll: 悪意のあるDLLで、シェルコードを復号・実行するためにサイドロードされる。

「Chrysalis」は、システム情報を収集し、外部サーバー「api.skycloudcenter[.]com」と通信して追加コマンドを受信する、特注かつ機能豊富なインプラントです。このコマンド&コントロール(C2)サーバーは現在オフラインですが、詳細な調査により、インタラクティブシェル、プロセス作成、ファイル操作、ファイルのアップロード/ダウンロード、自己アンインストールが可能な能力を持つことが判明しています。

攻撃者の進化する手口

Rapid7はまた、カスタムローダーを介してCobalt Strikeビーコンを検索するよう設計された「conf.c」というファイルも特定しました。このローダーの一つ「ConsoleApplication2.exe」は、Microsoft Warbirdという文書化されていない内部コード保護および難読化フレームワークを使用してシェルコードを実行している点で注目されます。これは、ドイツのサイバーセキュリティ企業Cirosecが2024年9月に公開した概念実証(PoC)を攻撃者がコピー・改変したものです。

Lotus Blossomグループは、DLLサイドローディングやサービス永続化といった確立された技術に依存しつつも、多層的なシェルコードローダーや文書化されていないシステムコール(NtQuerySystemInformation)の統合により、より強靭で巧妙な攻撃手法へと移行していることが指摘されています。

セキュリティ業界への示唆

Rapid7は、今回の事件を過去のLotus Blossomのキャンペーン(2025年4月にBroadcom傘下のSymantecが文書化した、Trend MicroおよびBitdefenderの正規実行ファイルを利用したDLLサイドローディングなど)との類似性に基づき、同グループに帰属させました。カスタムマルウェア(Chrysalis)とMetasploit、Cobalt Strikeのような市販フレームワークの組み合わせ、そして公開された研究(Microsoft Warbirdの悪用)への迅速な適応は、Billbugが現代の検出技術の先を行くために、そのプレーブックを積極的に更新していることを示しています。

この事件は、サプライチェーン攻撃と巧妙化する脅威アクターに対する警戒の重要性を改めて浮き彫りにしています。

元記事: https://thehackernews.com/2026/02/notepad-hosting-breach-attributed-to.html

投稿をさらに読み込む