SOC Prime Bias: Kritisch

27 Jan. 2026 17:21
newspaper icon Trend Micro

Watering-Hole-Angriff zielt auf EmEditor-Nutzer mit informationsstehlender Malware ab

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
Watering-Hole-Angriff zielt auf EmEditor-Nutzer mit informationsstehlender Malware ab
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Ein trojanisierter EmEditor-Installer wurde genutzt, um eine mehrstufige Malware-Kette zu verteilen. Der kompromittierte Installer lädt PowerShell-Skripte von Angreifern kontrollierten Domänen und zieht dann nachfolgende Nutzlasten, die Anmeldeinformationen erbeuten, Host- und Umgebungsdetails sammeln und die Ergebnisse exfiltrieren, an. Der Liefermechanismus stimmt mit einer Watering-Hole-Technik überein, bei der der Downloadpfad des Anbieters kompromittiert wird, um Benutzer zu erreichen, die nach legitimer Software suchen.

Untersuchung

Die Analyse ergab, dass das MSI-Paket geändert wurde, um einen eingebetteten PowerShell-Befehl auszuführen, der gefälschte EmEditor-Domänen kontaktierte. Das anfängliche Skript lud dann zwei weitere Stufen herunter, die für Anti-Analyse-Verhalten, Anmelde-informationendiebstahl und System-Fingerprinting verantwortlich sind, bevor gesammelte Daten an einen Steuerungsserver übertragen werden. Die Untersuchung dokumentierte eindeutige Indikatoren, einschließlich unikater Zeichenfolgen und spezifischer URLs, die in der Ausführungskette verwendet wurden.

Abschwächung

Überprüfen Sie die Integrität des Installers mithilfe der Anbieter-Code-Signaturvalidierung und Hash-Überprüfungen, bevor Sie ihn bereitstellen. Setzen Sie strikte PowerShell-Kontrollen und Überwachungen ein und achten Sie auf Verhaltensweisen, die mit der Deaktivierung von ETW oder anderer Telemetrie in Verbindung stehen. Implementieren Sie Netzwerkfilterung für die identifizierten bösartigen Domänen und alarmieren Sie bei anomaler ausgehender HTTPS-Aktivität.

Antwort

Suchen Sie nach der PowerShell-Befehlszeile, die auf die bösartigen Domänen verweist, blockieren Sie die zugehörigen URLs/Domänen, isolieren Sie betroffene Endpunkte und bewahren Sie forensische Artefakte wie das manipulier-te MSI auf. Führen Sie eine Überprüfung der Lieferkette des Anbieters durch und koordi-nieren Sie Benachrichtigungen und Handlungs-anweisungen für die Benutzer.

„graph TB %% Klassendefinitionen classDef technique fill:#ffcc99 classDef file fill:#e6e6fa classDef command fill:#add8e6 classDef server fill:#ffd700 classDef tool fill:#d3d3d3 %% Technikknoten tech_T1195[„<b>Technik</b> – T1195 Lieferkettenkompromittierung:<br />Kompromittierung einer Softwarelieferkette zur Verbreitung bösartiger Nutzlasten.“] class tech_T1195 technique tech_T1199[„<b>Technik</b> – T1199 Vertrauenswürdige Beziehung:<br />Verwendung einer vertrauenswürdigen Anbieterbeziehung zur Bereitstellung bösartiger Inhalte.“] class tech_T1199 technique tech_T1546_016[„<b>Technik</b> – T1546.016 Ereignisgesteuerte Ausführung (Installationspakete):<br />CustomAction in MSI führt ein Skript aus, wenn das Installationsprogramm ausgeführt wird.“] class tech_T1546_016 technique tech_T1059_001[„<b>Technik</b> – T1059.001 PowerShell:<br />Ausführung von PowerShell-Befehlen zum Herunterladen und Ausführen von Nutzlasten.“] class tech_T1059_001 technique tech_T1027[„<b>Technik</b> – T1027 Verschleierte Dateien oder Informationen:<br />Nutzlasten sind stark verschleiert durch Zeichenfolgenmanipulation und Kodierung.“] class tech_T1027 technique tech_T1620[„<b>Technik</b> – T1620 Reflektives Laden von Code:<br />Bösartiger Code wird reflektiv in den Speicher geladen, ohne die Festplatte zu berühren.“] class tech_T1620 technique tech_T1497[„<b>Technik</b> – T1497 Virtualisierungs-/Sandbox-Ausweichung:<br />Kontrollen auf Analyseumgebungen, basierend auf Benutzeraktivitäten und zeitbasierter Logik.“] class tech_T1497 technique tech_T1218_007[„<b>Technik</b> – T1218.007 System-Binär-Proxy-Ausführung:<br />Msiexec wird als vertrauenswürdige Binärdatei verwendet, um das bösartige MSI zu starten.“] class tech_T1218_007 technique tech_T1555_004[„<b>Technik</b> – T1555.004 Anmeldeinformationen aus Passwortspeichern:<br />Extraktion gespeicherter Anmeldeinformationen aus dem Windows-Anmeldeinformations-Manager.“] class tech_T1555_004 technique tech_T1082[„<b>Technik</b> – T1082 Systeminformationsentdeckung:<br />Sammelt Informationen über Betriebssystem, Hardware und Software.“] class tech_T1082 technique tech_T1016_001[„<b>Technik</b> – T1016.001 Internetverbindungsentdeckung:<br />Bestimmt den Status der Netzwerkverbindung.“] class tech_T1016_001 technique tech_T1592_002[„<b>Technik</b> – T1592.002 Informationen über das Opferhost (Software) sammeln:<br />Auflistung installierter Anwendungen und Versionen.“] class tech_T1592_002 technique tech_T1102[„<b>Technik</b> – T1102 Webdienst:<br />Verwendet HTTPS-Webdienste zur Kommando- und Kontrollkommunikation.“] class tech_T1102 technique tech_T1090_002[„<b>Technik</b> – T1090.002 Proxy-Externer Proxy:<br />Datenverkehr wird über einen externen Proxy-Server geleitet.“] class tech_T1090_002 technique tech_T1070_001[„<b>Technik</b> – T1070.001 Indikatorentfernung (Löschen von Windows-Ereignisprotokollen):<br />Deaktiviert ETW und löscht Protokolle, um Aktivitäten zu verbergen.“] class tech_T1070_001 technique tech_T1546_013[„<b>Technik</b> – T1546.013 Ereignisgesteuerte Ausführung (PowerShell-Profil):<br />Persistenz durch bösartiges PowerShell-Profilskript.“] class tech_T1546_013 technique tech_T1068[„<b>Technik</b> – T1068 Ausnutzung zur Privilegieneskalation:<br />Mögliche Verwendung lokaler Exploits zur Erlangung höherer Privilegien.“] class tech_T1068 technique %% Datei-, Tool-, Befehls- und Serverknoten file_msi[„<b>Datei</b> – EmEditor.msi:<br />Kompromittierte MSI-Installation, die auf der Anbieterseite gehostet wird.“] class file_msi file tool_msiexec[„<b>Werkzeug</b> – Msiexec:<br />Windows-Installer-Programm, das verwendet wird, um das bösartige MSI auszuführen.“] class tool_msiexec tool command_ps[„<b>Befehl</b> – PowerShell:<br />CustomAction führt PowerShell aus, das Skripte über Invoke-WebRequest herunterlädt.“] class command_ps command server_c2[„<b>Server</b> – C2 HTTPS:<br />https://cachingdrive.com/gate/init/2daef8cd“] class server_c2 server %% Verbindungen zeigen den Angriffsfluss tech_T1195 u002du002d>|liefert| file_msi tech_T1199 u002du002d>|lädt herunter| file_msi file_msi u002du002d>|ausgeführt von| tool_msiexec tool_msiexec u002du002d>|löst aus| tech_T1546_016 tech_T1546_016 u002du002d>|führt aus| command_ps command_ps u002du002d>|führt aus| tech_T1059_001 command_ps u002du002d>|verwendet Verschleierung| tech_T1027 command_ps u002du002d>|lädt Code reflektiv| tech_T1620 command_ps u002du002d>|führt Sandbox-Prüfungen durch| tech_T1497 command_ps u002du002d>|Proxy-Ausführung via msiexec| tech_T1218_007 command_ps u002du002d>|extrahiert Anmeldeinformationen| tech_T1555_004 command_ps u002du002d>|sammelt Systeminformationen| tech_T1082 command_ps u002du002d>|entdeckt Internetverbindung| tech_T1016_001 command_ps u002du002d>|zählt Software auf| tech_T1592_002 command_ps u002du002d>|kommuniziert mit| server_c2 server_c2 u002du002d>|verwendet| tech_T1102 server_c2 u002du002d>|leitet durch| tech_T1090_002 command_ps u002du002d>|löscht Protokolle| tech_T1070_001 command_ps u002du002d>|etabliert Persistenz| tech_T1546_013 command_ps u002du002d>|kann auslösen| tech_T1068 „

Angriffsfluss

Simulationsausführung

Voraussetzung: Die Telemetrie & Baseline Pre-Flight-Check müssen bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel konzipiert ist. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die erwartete Telemetrie zu erzeugen, die von der Erkennung-Logik erwartet wird.

  • Angriffs-Narrativ & Befehle:
    Ein Angreifer hat das offizielle EmEditor-Installer-Paket kompromittiert. Nachdem ein Opfer den Installer startet, erreicht das bösartige Binärprogramm die hart kodierte C2-Domäne cachingdrive.com/gate/init/2daef8cd. Diese ausgehende Anfrage lädt eine sekundäre Nutzlast herunter, die Privilegien erhöht und Anmeldeinformationen erbeutet. Der Angreifer verwendet eine Standard-Windows-Befehlszeile (cmd.exe), um den Installer zu starten und sicherzustellen, dass die bösartige URL im Prozess-Erstellungsereignis wortgetreu erscheint, was der String-Match-Bedingung der Sigma-Regel entspricht.

  • Regressionstest-Skript:

    # --------------------------------------------------------------
# Simulierte bösartige Ausführung eines kompromittierten EmEditor-Installers
# --------------------------------------------------------------
$installerPath = "C:TempEmEditorSetup.exe"
$maliciousUrl   = "https://cachingdrive.com/gate/init/2daef8cd"

# Stellt sicher, dass der Installer existiert (Platzhalter - in einem realen Test kopieren Sie ein unbedenkliches exe)
if (-not (Test-Path $installerPath)) {
    Write-Error "Installer nicht gefunden unter $installerPath"
    exit 1
}

# Führt den Installer mit dem bösartigen Argument aus
Write-Host "[*] Starten des kompromittierten Installers..."
Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait

Write-Host "[+] Ausführung abgeschlossen. Überprüfen Sie, ob die Erkennungsregel ausgelöst wurde."
# --------------------------------------------------------------

  • Aufräumbefehle:

    # --------------------------------------------------------------
# Entfernen von Artefakten, die durch den simulierten Test hinterlassen wurden
# --------------------------------------------------------------
$installerPath = "C:TempEmEditorSetup.exe"

if (Test-Path $installerPath) {
    Remove-Item $installerPath -Force
    Write-Host "[*] Installer-Binärdatei entfernt."
}

# (Optional) Gelöschte heruntergeladene Nutzlasten entfernen, wenn sie materialisiert wurden
$downloadedPath = "$env:TEMPpayload.bin"
if (Test-Path $downloadedPath) {
    Remove-Item $downloadedPath -Force
    Write-Host "[*] Heruntergeladene bösartige Nutzlast entfernt."
}
# --------------------------------------------------------------

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten