Ataque de Agua Envenenada Apunta a Usuarios de EmEditor con Malware Roba-Información
Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un instalador de EmEditor troyanizado se utilizó para distribuir una cadena de malware de múltiples etapas. El instalador comprometido obtiene scripts de PowerShell de dominios controlados por atacantes y luego descarga cargas útiles adicionales que cosechan credenciales, recopilan detalles del host y del entorno, y exfiltran los resultados. El mecanismo de entrega se alinea con una técnica de watering-hole, donde la ruta de descarga del proveedor es comprometida para llegar a usuarios que buscan software legítimo.
Investigación
El análisis determinó que el paquete MSI fue alterado para ejecutar un comando de PowerShell incrustado que contactaba dominios falsificados con temática de EmEditor. El script inicial descargó luego dos etapas adicionales responsables de comportamiento anti-análisis, robo de credenciales y huella digital del sistema, antes de transmitir los datos recopilados a un servidor de comando y control. La investigación documentó indicadores distintos, incluyendo cadenas únicas y URLs específicas utilizadas en toda la cadena de ejecución.
Mitigación
Verifique la integridad del instalador utilizando la validación de firma de código del proveedor y verificaciones de hash antes de la implementación. Aplique controles estrictos de PowerShell y monitoreo, y observe comportamientos asociados con la desactivación de ETW u otra telemetría. Implemente filtrado de red para los dominios maliciosos identificados y alerte sobre actividades HTTPS salientes anómalas.
Respuesta
Busque la línea de comando de PowerShell que hace referencia a los dominios maliciosos, bloquee los URLs/dominios asociados, aísle los puntos finales impactados, y preserve los artefactos forenses como el MSI alterado. Realice una revisión de la cadena de suministro del flujo de trabajo de distribución del proveedor y coordine la notificación a los usuarios y la guía para la remediación.
«graph TB %% Definiciones de clases classDef technique fill:#ffcc99 classDef file fill:#e6e6fa classDef command fill:#add8e6 classDef server fill:#ffd700 classDef tool fill:#d3d3d3 %% Nodos de Técnicas tech_T1195[«<b>Técnica</b> – T1195 Compromiso de la Cadena de Suministro:<br/>Compromiso de una cadena de suministro de software para distribuir cargas maliciosas.»] class tech_T1195 technique tech_T1199[«<b>Técnica</b> – T1199 Relación de Confianza:<br/>Uso de una relación de proveedor de confianza para entregar contenido malicioso.»] class tech_T1199 technique tech_T1546_016[«<b>Técnica</b> – T1546.016 Ejecución Activada por Eventos (Paquetes de Instalación):<br/>CustomAction en MSI ejecuta un script cuando se ejecuta el instalador.»] class tech_T1546_016 technique tech_T1059_001[«<b>Técnica</b> – T1059.001 PowerShell:<br/>Ejecución de comandos de PowerShell para descargar y ejecutar cargas útiles.»] class tech_T1059_001 technique tech_T1027[«<b>Técnica</b> – T1027 Archivos u Información Ofuscada:<br/>Las cargas útiles están fuertemente ofuscadas usando manipulación de cadenas y codificación.»] class tech_T1027 technique tech_T1620[«<b>Técnica</b> – T1620 Carga Reflexiva de Código:<br/>El código malicioso se carga en la memoria de forma reflexiva sin tocar el disco.»] class tech_T1620 technique tech_T1497[«<b>Técnica</b> – T1497 Evasión de Virtualización/Sandbox:<br/>Verifica entornos de análisis utilizando lógica basada en actividad del usuario y tiempo.»] class tech_T1497 technique tech_T1218_007[«<b>Técnica</b> – T1218.007 Ejecución por Proxy del Binario del Sistema:<br/>Msiexec se utiliza como un binario de confianza para lanzar el MSI malicioso.»] class tech_T1218_007 technique tech_T1555_004[«<b>Técnica</b> – T1555.004 Credenciales de Almacenes de Contraseñas:<br/>Extracción de credenciales almacenadas del Administrador de Credenciales de Windows.»] class tech_T1555_004 technique tech_T1082[«<b>Técnica</b> – T1082 Descubrimiento de Información del Sistema:<br/>Recopila detalles de OS, hardware y software.»] class tech_T1082 technique tech_T1016_001[«<b>Técnica</b> – T1016.001 Descubrimiento de Conexión a Internet:<br/>Determina el estado de la conectividad de red.»] class tech_T1016_001 technique tech_T1592_002[«<b>Técnica</b> – T1592.002 Recopilar Información del Host de la Víctima (Software):<br/>Enumera aplicaciones instaladas y versiones.»] class tech_T1592_002 technique tech_T1102[«<b>Técnica</b> – T1102 Servicio Web:<br/>Usa servicios web HTTPS para la comunicación de comando y control.»] class tech_T1102 technique tech_T1090_002[«<b>Técnica</b> – T1090.002 Proxy Externo:<br/>El tráfico se enruta a través de un servidor proxy externo.»] class tech_T1090_002 technique tech_T1070_001[«<b>Técnica</b> – T1070.001 Eliminación de Indicadores (Borrado de Registros de Eventos de Windows):<br/>Desactiva ETW y borra registros para ocultar actividad.»] class tech_T1070_001 technique tech_T1546_013[«<b>Técnica</b> – T1546.013 Ejecución Activada por Eventos (Perfil de PowerShell):<br/>Persistencia a través de un script de perfil de PowerShell malicioso.»] class tech_T1546_013 technique tech_T1068[«<b>Técnica</b> – T1068 Explotación para Escalamiento de Privilegios:<br/>Uso potencial de exploits locales para ganar privilegios más altos.»] class tech_T1068 technique %% Nodos de archivo, herramienta, comando y servidor file_msi[«<b>Archivo</b> – EmEditor.msi:<br/>Instalador MSI comprometido alojado en la página de descarga del proveedor.»] class file_msi file tool_msiexec[«<b>Herramienta</b> – Msiexec:<br/>Ejecutable del Instalador de Windows usado para ejecutar el MSI malicioso.»] class tool_msiexec tool command_ps[«<b>Comando</b> – PowerShell:<br/>CustomAction ejecuta PowerShell que descarga scripts a través de Invoke-WebRequest.»] class command_ps command server_c2[«<b>Servidor</b> – C2 HTTPS:<br/>https://cachingdrive.com/gate/init/2daef8cd»] class server_c2 server %% Conexiones que muestran el flujo del ataque tech_T1195 u002du002d>|entrega| file_msi tech_T1199 u002du002d>|descargas| file_msi file_msi u002du002d>|ejecutado por| tool_msiexec tool_msiexec u002du002d>|dispara| tech_T1546_016 tech_T1546_016 u002du002d>|ejecuta| command_ps command_ps u002du002d>|ejecuta| tech_T1059_001 command_ps u002du002d>|usa ofuscación| tech_T1027 command_ps u002du002d>|carga código reflejado| tech_T1620 command_ps u002du002d>|realiza verificaciones de sandbox| tech_T1497 command_ps u002du002d>|ejecución por proxy vía msiexec| tech_T1218_007 command_ps u002du002d>|extrae credenciales| tech_T1555_004 command_ps u002du002d>|recopila información del sistema| tech_T1082 command_ps u002du002d>|descubre conexión a internet| tech_T1016_001 command_ps u002du002d>|enumera software| tech_T1592_002 command_ps u002du002d>|comunica con| server_c2 server_c2 u002du002d>|usa| tech_T1102 server_c2 u002du002d>|ruta a través de| tech_T1090_002 command_ps u002du002d>|borra registros| tech_T1070_001 command_ps u002du002d>|establece persistencia| tech_T1546_013 command_ps u002du002d>|puede disparar| tech_T1068 «
Flujo de Ataque
Detecciones
Descarga o Carga a través de Powershell (vía línea de comando)
Ver
Posible Proyecto NoMSbuild (vía powershell)
Ver
Llamada a Métodos .NET Sospechosos desde Powershell (vía powershell)
Ver
Cadenas de Powershell Sospechosas (vía powershell)
Ver
Comunicación C&C de Malware EmEditor y Huella Digital del Sistema [Conexión de Red de Windows]
Ver
Detección de Comandos de PowerShell Maliciosos Dirigidos a Usuarios de EmEditor [Windows Powershell]
Ver
Actividad Sospechosa Detectada en Instalador de EmEditor Comprometido [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Prerrequisito: Debe haberse aprobado el Chequeo Previo al Vuelo de Telemetría y Línea de Base.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque & Comandos:
Un adversario ha comprometido el paquete de instalación oficial de EmEditor. Después de que una víctima ejecuta el instalador, el binario malicioso se conecta al dominio C2 codificadocachingdrive.com/gate/init/2daef8cd. Esta solicitud de salida descarga una carga útil secundaria que eleva privilegios y cosecha credenciales. El atacante usa una línea de comando estándar de Windows (cmd.exe) para iniciar el instalador, asegurando que la URL maliciosa aparezca textualmente en el evento de creación de procesos, que coincide con la condición de coincidencia de cadenas de la regla Sigma. -
Script de Prueba de Regresión:
# -------------------------------------------------------------- # Ejecución maliciosa simulada de un instalador de EmEditor comprometido # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" $maliciousUrl = "https://cachingdrive.com/gate/init/2daef8cd" # Asegúrese de que el instalador exista (marcador de posición – en una prueba real, copie un exe benigno) if (-not (Test-Path $installerPath)) { Write-Error "Instalador no encontrado en $installerPath" exit 1 } # Ejecutar el instalador con el argumento malicioso Write-Host "[*] Lanzando instalador comprometido..." Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait Write-Host "[+] Ejecución completa. Verifique que la regla de detección se haya activado." # -------------------------------------------------------------- -
Comandos de Limpieza:
# -------------------------------------------------------------- # Eliminar cualquier artefacto dejado por la prueba simulada # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "[*] Instalador binario eliminado." } # (Opcional) Eliminar cargas útiles descargadas si se materializaron $downloadedPath = "$env:TEMPpayload.bin" if (Test-Path $downloadedPath) { Remove-Item $downloadedPath -Force Write-Host "[*] Carga maliciosa descargada eliminada." } # --------------------------------------------------------------