Bu, BT departmanı için bir tatbikat değil; canlı bir tehdit senaryosudur. Dünya genelindeki geliştiriciler ve sistem yöneticileri için temel bir araç olan Notepad++'ı hedef alan sofistike bir tedarik zinciri saldırısı tespit edildi. Saldırganlar, meşru güncelleme veya dağıtım kanallarını tehlikeye atarak, kötü amaçlı yükleri doğrudan yüksek güvenli ortamlara ulaştırmayı başardılar ve böylece geleneksel çevre güvenliğini ve güvenlik duvarlarını etkili bir şekilde atladılar.

Bu saldırı, günlük araçlara duyduğumuz güveni kullanması nedeniyle özellikle tehlikelidir. Tehlikeye atılmış sürüm yüklendikten sonra, sadece orada durmaz; kalıcılığı sürdürmek ve tespitten kaçınmak için kötü amaçlı bileşenleri yaygın sistem dizinlerine bırakan bir "sistemin kaynaklarını kullanma" (living-off-the-land) stratejisi başlatır.

Saldırıyı Tespit Etme: Güvenlik İhlali Göstergeleri (IoC'ler)

Adli analizler, bu kötü amaçlı yazılımın gizlendiği belirli yolları ortaya çıkardı. Bir BT veya Güvenlik Operasyonları ekibinin üyesiyseniz, uç noktalarınızı aşağıdaki dosya yapıları açısından derhal denetlemelisiniz:

1. ProShow Vektörü: %appdata%\ProShow\ dizinini kontrol edin. ProShow.exe'nin yanında load adlı bir dosya görürseniz, sistem hedef alınmıştır.
2. Adobe Betik Ele Geçirme: Saldırganlar, alien.ini, script.exe ve lua5.1.dll dahil olmak üzere standart dışı dosyaları depolamak için %appdata%\Adobe\Scripts\ dizinini kullanıyorlar.
3. Bluetooth Kalıcılığı: Gizli bir hizmet genellikle %appdata%\Bluetooth\ dizininde BluetoothService.exe ve log.dll olarak bulunur.
4. USOShared Anormallikleri: C:\ProgramData\USOShared dizini genellikle Windows Update günlükleri için ayrılmıştır. Burada .etl veya .dat olmayan (ve özellikle standart Logs alt klasörünün bir parçası olmayan) herhangi bir dosya son derece şüpheli olarak değerlendirilmelidir.

Otomatik Tespit: PowerShell Denetim Betiği

Birden fazla iş istasyonunda hızlı triyaj yapmanıza yardımcı olmak için, geliştirilmiş bir PowerShell betiği hazırladık. Bu betik, "gürültüye duyarlı" olacak şekilde tasarlanmıştır; ekibinizin yalnızca gerçek tehditlere odaklanmasını sağlamak için USOShared\Logs gibi meşru sistem klasörlerini özellikle göz ardı eder.

PowerShell

# Notepad++ Supply Chain Attack - Advanced IoC Scanner

Write-Host "[!] Initiating Emergency Security Audit..." -ForegroundColor Cyan

$Findings = @()

$AppData = $env:APPDATA

# 1. Check specific AppData targets

$Targets = @(

"$AppData\ProShow\load",

"$AppData\Adobe\Scripts\alien.ini",

"$AppData\Adobe\Scripts\script.exe",

"$AppData\Adobe\Scripts\lua5.1.dll",

"$AppData\Bluetooth\BluetoothService.exe",

"$AppData\Bluetooth\log.dll"

)

foreach ($Path in $Targets) {

if (Test-Path $Path) { $Findings += "CRITICAL: Found $Path" }

}

# 2. Targeted USOShared Analysis (Filtering out false positives)

$UsoPath = "C:\ProgramData\USOShared"

if (Test-Path $UsoPath) {

# We only look for FILES, ignoring the 'Logs' subfolder and standard log extensions

$UsoFiles = Get-ChildItem -Path $UsoPath -File | Where-Object { $_.Extension -notmatch "\.(etl|dat)$" }

foreach ($File in $UsoFiles) { $Findings += "SUSPICIOUS: $($File.FullName)" }

}

# --- Results Reporting ---

if ($Findings.Count -gt 0) {

Write-Host "`n[!!!] BREACH INDICATORS DETECTED:" -ForegroundColor Red

$Findings | ForEach-Object { Write-Host " -> $_" -ForegroundColor Yellow }

} else {

Write-Host "`n[+] No known Notepad++ IoCs detected. System appears secure." -ForegroundColor Green

}

Tepki Vermeyi Bırakın, Monitic ile Çözmeye Başlayın

Manuel betikler hızlı bir kontrol için harika olsa da, modern bir işletmeyi yönetmek daha sağlam bir yaklaşım gerektirir. Tespit savaşın sadece yarısıdır; asıl zafer merkezi iyileştirmede yatar. İşte bu noktada Monitic’in Uygulama Güncelleme özelliği en değerli varlığınız haline gelir. Yüzlerce cihazda gölgeleri kovalamak yerine, Monitic size şunları sağlar:

1. Anında Envanter: Tüm ağınızda çalışan her Notepad++ sürümünü anında görün.
2. Güvenlik Açığı Haritalaması: Hangi cihazların tehlikeye atılmış veya güncel olmayan sürümleri çalıştırdığını sıfır manuel çabayla belirleyin.
3. Tek Tıkla İyileştirme: Notepad++'ın en son, güvenli sürümünü her uç noktaya eş zamanlı olarak dağıtın.

Monitic kullanarak, saldırganlar için fırsat penceresini kapatırsınız. Basit bir metin düzenleyicinin sunucu odanıza açılan bir kapı olmasına izin vermeyin. Monitic panonuza giriş yapın, Uygulama Güncellemeleri'ne gidin ve ortamınızı bugün güvence altına alın.