SOC Prime Bias: Kritisch

27 Jan 2026 14:21 UTC

Watering-Hole-Angriff zielt auf EmEditor-Nutzer mit informationsstehlender Malware ab

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Watering-Hole-Angriff zielt auf EmEditor-Nutzer mit informationsstehlender Malware ab
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Ein trojanisierter EmEditor-Installer wurde genutzt, um eine mehrstufige Malware-Kette zu verteilen. Der kompromittierte Installer lädt PowerShell-Skripte von Angreifern kontrollierten Domänen und zieht dann nachfolgende Nutzlasten, die Anmeldeinformationen erbeuten, Host- und Umgebungsdetails sammeln und die Ergebnisse exfiltrieren, an. Der Liefermechanismus stimmt mit einer Watering-Hole-Technik überein, bei der der Downloadpfad des Anbieters kompromittiert wird, um Benutzer zu erreichen, die nach legitimer Software suchen.

Untersuchung

Die Analyse ergab, dass das MSI-Paket geändert wurde, um einen eingebetteten PowerShell-Befehl auszuführen, der gefälschte EmEditor-Domänen kontaktierte. Das anfängliche Skript lud dann zwei weitere Stufen herunter, die für Anti-Analyse-Verhalten, Anmelde-informationendiebstahl und System-Fingerprinting verantwortlich sind, bevor gesammelte Daten an einen Steuerungsserver übertragen werden. Die Untersuchung dokumentierte eindeutige Indikatoren, einschließlich unikater Zeichenfolgen und spezifischer URLs, die in der Ausführungskette verwendet wurden.

Abschwächung

Überprüfen Sie die Integrität des Installers mithilfe der Anbieter-Code-Signaturvalidierung und Hash-Überprüfungen, bevor Sie ihn bereitstellen. Setzen Sie strikte PowerShell-Kontrollen und Überwachungen ein und achten Sie auf Verhaltensweisen, die mit der Deaktivierung von ETW oder anderer Telemetrie in Verbindung stehen. Implementieren Sie Netzwerkfilterung für die identifizierten bösartigen Domänen und alarmieren Sie bei anomaler ausgehender HTTPS-Aktivität.

Antwort

Suchen Sie nach der PowerShell-Befehlszeile, die auf die bösartigen Domänen verweist, blockieren Sie die zugehörigen URLs/Domänen, isolieren Sie betroffene Endpunkte und bewahren Sie forensische Artefakte wie das manipulier-te MSI auf. Führen Sie eine Überprüfung der Lieferkette des Anbieters durch und koordi-nieren Sie Benachrichtigungen und Handlungs-anweisungen für die Benutzer.

Angriffsfluss

Simulationsausführung

Voraussetzung: Die Telemetrie & Baseline Pre-Flight-Check müssen bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel konzipiert ist. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die erwartete Telemetrie zu erzeugen, die von der Erkennung-Logik erwartet wird.

  • Angriffs-Narrativ & Befehle:
    Ein Angreifer hat das offizielle EmEditor-Installer-Paket kompromittiert. Nachdem ein Opfer den Installer startet, erreicht das bösartige Binärprogramm die hart kodierte C2-Domäne cachingdrive.com/gate/init/2daef8cd. Diese ausgehende Anfrage lädt eine sekundäre Nutzlast herunter, die Privilegien erhöht und Anmeldeinformationen erbeutet. Der Angreifer verwendet eine Standard-Windows-Befehlszeile (cmd.exe), um den Installer zu starten und sicherzustellen, dass die bösartige URL im Prozess-Erstellungsereignis wortgetreu erscheint, was der String-Match-Bedingung der Sigma-Regel entspricht.

  • Regressionstest-Skript:

    # --------------------------------------------------------------
    # Simulierte bösartige Ausführung eines kompromittierten EmEditor-Installers
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    $maliciousUrl   = "https://cachingdrive.com/gate/init/2daef8cd"
    
    # Stellt sicher, dass der Installer existiert (Platzhalter - in einem realen Test kopieren Sie ein unbedenkliches exe)
    if (-not (Test-Path $installerPath)) {
        Write-Error "Installer nicht gefunden unter $installerPath"
        exit 1
    }
    
    # Führt den Installer mit dem bösartigen Argument aus
    Write-Host "[*] Starten des kompromittierten Installers..."
    Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait
    
    Write-Host "[+] Ausführung abgeschlossen. Überprüfen Sie, ob die Erkennungsregel ausgelöst wurde."
    # --------------------------------------------------------------
  • Aufräumbefehle:

    # --------------------------------------------------------------
    # Entfernen von Artefakten, die durch den simulierten Test hinterlassen wurden
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    
    if (Test-Path $installerPath) {
        Remove-Item $installerPath -Force
        Write-Host "[*] Installer-Binärdatei entfernt."
    }
    
    # (Optional) Gelöschte heruntergeladene Nutzlasten entfernen, wenn sie materialisiert wurden
    $downloadedPath = "$env:TEMPpayload.bin"
    if (Test-Path $downloadedPath) {
        Remove-Item $downloadedPath -Force
        Write-Host "[*] Heruntergeladene bösartige Nutzlast entfernt."
    }
    # --------------------------------------------------------------