カスペルスキー、3つの異なる感染方法を使用したNotepad ++攻撃を明らかにする

ジャカルタ - カスペルスキーのグローバルリサーチアンドアナリシスチーム(GReAT)の研究チームは、さまざまな国の多くの組織を標的にしたNotepad ++の供給チェーン攻撃(サプライチェーン攻撃)に関する最新の発見を発表しました。

レポートでは、攻撃者はフィリピンの政府機関、エルサルバドルの金融機関、ベトナムのITサービスプロバイダー、3つの異なる国の個人を標的にしているとカスペルスキーは述べています。

この攻撃は、少なくとも3つの異なる感染チェーンを使用して実行され、そのうちの2つは以前は公開されていませんでした。

このキャンペーンでは、攻撃者は2025年7月から10月にかけて、マルウェア、コマンドアンドコントロールインフラストラクチャ、配信方法をほぼ毎月完全に変更しました。

この変更により、各チェーンが異なるIPアドレス、ドメイン、実行方法、ペイロードを使用するため、キャンペーンを追跡するのが困難になります。

Notepad++の開発者は、2026年2月2日に、ホスティングプロバイダーのインシデントにより、更新インフラストラクチャがハッカーによって侵入されたことを明らかにしました。

しかし、以前の公開レポートは、2025年10月に検出されたマルウェアに焦点を当てていました。これにより、多くの組織は、7月から9月までの期間に使用される他のハッキングインジケータに気づきませんでした。

したがって、Kaspersky GReATのシニアセキュリティ研究者Georgy Kucherinは、組織が公に知られているコンプライアンス指標(IoC)を見つけることができないからといって、すぐに安全だと感じるべきではないと警告しました。

「公に知られているIoCに対してシステムを検査し、何も発見しなかった専門家は、安全であると仮定してはならない」と、Kaspersky GReATのシニアセキュリティ研究者であるGeorgy Kucherin氏は述べています。

彼によると、ハッカーは、それぞれが検出されにくくなるように、IP、ドメイン、ファイルハッシュを実際に利用して、それぞれのアタックを実行しているからです。

「この攻撃者が彼らのツールをどのくらいの頻度で回転させるかに留意して、まだ発見されていない追加のチェーンの存在を排除することはできません」と彼は言いました。