Attaque Point d’Eau Cible les Utilisateurs d’EmEditor avec un Malware Voleur d’Informations
Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un installateur d’EmEditor infecté par un cheval de Troie a été utilisé pour distribuer une chaîne de logiciels malveillants à plusieurs étapes. L’installateur compromis extrait des scripts PowerShell à partir de domaines contrôlés par des attaquants, puis récupère des charges utiles complémentaires qui collectent des informations d’identification, des détails sur l’hôte et l’environnement, et exfiltrent les résultats. Le mécanisme de livraison s’aligne avec une technique de point d’eau, où le chemin de téléchargement du fournisseur est compromis pour atteindre les utilisateurs cherchant un logiciel légitime.
Enquête
L’analyse a déterminé que le paquet MSI avait été modifié pour exécuter une commande PowerShell intégrée qui contacte des domaines usurpés à thème EmEditor. Le script initial télécharge ensuite deux étapes supplémentaires responsables d’un comportement anti-analyse, du vol d’identifiants, et du profilage système, avant de transmettre les données collectées à un serveur de commande et de contrôle. L’enquête a documenté des indicateurs distincts, comprenant des chaînes uniques et des URL spécifiques utilisées tout au long de la chaîne d’exécution.
Atténuation
Vérifiez l’intégrité de l’installateur en utilisant la validation de signature du fournisseur et des vérifications de hachage avant le déploiement. Appliquez des contrôles et une surveillance stricts de PowerShell, et surveillez les comportements associés à la désactivation d’ETW ou d’autres télémetries. Mettez en place un filtrage réseau pour les domaines malveillants identifiés et alertez sur une activité HTTPS sortante anormale.
Réponse
Recherchez la ligne de commande PowerShell faisant référence aux domaines malveillants, bloquez les URL/domaines associés, isolez les points d’extrémité impactés, et préservez les artefacts forensiques tels que le MSI modifié. Effectuez un examen de la chaîne d’approvisionnement du flux de distribution du fournisseur et coordonnez la notification des utilisateurs et des conseils de remédiation.
« graph TB %% Class definitions classDef technique fill:#ffcc99 classDef file fill:#e6e6fa classDef command fill:#add8e6 classDef server fill:#ffd700 classDef tool fill:#d3d3d3 %% Technique nodes tech_T1195[« <b>Technique</b> – T1195 Compromission de la chaîne d’approvisionnement:<br />Compromission d’une chaîne d’approvisionnement logicielle pour distribuer une charge utile malveillante. »] class tech_T1195 technique tech_T1199[« <b>Technique</b> – T1199 Relation de confiance:<br />Utilisation d’une relation de fournisseur de confiance pour délivrer du contenu malveillant. »] class tech_T1199 technique tech_T1546_016[« <b>Technique</b> – T1546.016 Exécution déclenchée par un événement (Paquets d’installation):<br />CustomAction dans MSI exécute un script lorsque l’installateur est exécuté. »] class tech_T1546_016 technique tech_T1059_001[« <b>Technique</b> – T1059.001 PowerShell:<br />Exécution de commandes PowerShell pour télécharger et exécuter des charges utiles. »] class tech_T1059_001 technique tech_T1027[« <b>Technique</b> – T1027 Fichiers ou informations obscurcis:<br />Les charges utiles sont fortement obfusquées à l’aide de manipulations de chaînes et de codage. »] class tech_T1027 technique tech_T1620[« <b>Technique</b> – T1620 Chargement de code réflexif:<br />Le code malveillant est chargé en mémoire de manière réflexive sans toucher le disque. »] class tech_T1620 technique tech_T1497[« <b>Technique</b> – T1497 Evasion de la virtualisation/sandboxing:<br />Vérifie les environnements d’analyse à l’aide de l’activité utilisateur et de la logique basée sur le temps. »] class tech_T1497 technique tech_T1218_007[« <b>Technique</b> – T1218.007 Exécution de proxy par binaire système:<br />Msiexec est utilisé comme binaire de confiance pour lancer le MSI malveillant. »] class tech_T1218_007 technique tech_T1555_004[« <b>Technique</b> – T1555.004 Informations d’identification des gestionnaires de mots de passe:<br />Extraction des informations d’identification stockées à partir du Windows Credential Manager. »] class tech_T1555_004 technique tech_T1082[« <b>Technique</b> – T1082 Découverte d’informations système:<br />Collecte des détails du système d’exploitation, matériel et logiciel. »] class tech_T1082 technique tech_T1016_001[« <b>Technique</b> – T1016.001 Découverte de la connexion Internet:<br />Détermine l’état de connectivité réseau. »] class tech_T1016_001 technique tech_T1592_002[« <b>Technique</b> – T1592.002 Collecter des informations sur la victime (logiciel):<br />Énumère les applications installées et leurs versions. »] class tech_T1592_002 technique tech_T1102[« <b>Technique</b> – T1102 Service Web:<br />Utilise des services web HTTPS pour la communication de commande et de contrôle. »] class tech_T1102 technique tech_T1090_002[« <b>Technique</b> – T1090.002 Proxy Proxy Externe:<br />Le trafic est routé via un serveur proxy externe. »] class tech_T1090_002 technique tech_T1070_001[« <b>Technique</b> – T1070.001 Suppression des indicateurs (Effacer les journaux des événements Windows):<br />Désactive ETW et efface les journaux pour masquer l’activité. »] class tech_T1070_001 technique tech_T1546_013[« <b>Technique</b> – T1546.013 Exécution déclenchée par un événement (Profil PowerShell):<br />Persistance via un script de profil PowerShell malveillant. »] class tech_T1546_013 technique tech_T1068[« <b>Technique</b> – T1068 Exploitation pour élévation de privilèges:<br />Utilisation potentielle d’exploits locaux pour obtenir des privilèges plus élevés. »] class tech_T1068 technique %% File, tool, command and server nodes file_msi[« <b>Fichier</b> – EmEditor.msi:<br />Installateur MSI compromis hébergé sur la page de téléchargement du fournisseur. »] class file_msi file tool_msiexec[« <b>Outil</b> – Msiexec:<br />Exécutable Windows Installer utilisé pour exécuter le MSI malveillant. »] class tool_msiexec tool command_ps[« <b>Commande</b> – PowerShell:<br />CustomAction exécute PowerShell qui télécharge des scripts via Invoke-WebRequest. »] class command_ps command server_c2[« <b>Serveur</b> – C2 HTTPS:<br />https://cachingdrive.com/gate/init/2daef8cd »] class server_c2 server %% Connections showing attack flow tech_T1195 u002du002d>|delivers| file_msi tech_T1199 u002du002d>|downloads| file_msi file_msi u002du002d>|executed by| tool_msiexec tool_msiexec u002du002d>|triggers| tech_T1546_016 tech_T1546_016 u002du002d>|runs| command_ps command_ps u002du002d>|executes| tech_T1059_001 command_ps u002du002d>|uses obfuscation| tech_T1027 command_ps u002du002d>|loads code reflectively| tech_T1620 command_ps u002du002d>|performs sandbox checks| tech_T1497 command_ps u002du002d>|proxy execution via msiexec| tech_T1218_007 command_ps u002du002d>|extracts credentials| tech_T1555_004 command_ps u002du002d>|gathers system info| tech_T1082 command_ps u002du002d>|discovers internet connection| tech_T1016_001 command_ps u002du002d>|enumerates software| tech_T1592_002 command_ps u002du002d>|communicates with| server_c2 server_c2 u002du002d>|uses| tech_T1102 server_c2 u002du002d>|routes through| tech_T1090_002 command_ps u002du002d>|clears logs| tech_T1070_001 command_ps u002du002d>|establishes persistence| tech_T1546_013 command_ps u002du002d>|may trigger| tech_T1068 «
Flux d’attaque
Détections
Téléchargement ou envoi via PowerShell (via cmdline)
Voir
Possible projet NoMSbuild (via PowerShell)
Voir
Appeler des méthodes .NET suspectes depuis PowerShell (via PowerShell)
Voir
Chaînes PowerShell suspectes (via PowerShell)
Voir
Communication de commande et de contrôle et profilage système de Malware EmEditor [Connexion réseau Windows]
Voir
Détection des commandes PowerShell malveillantes ciblant les utilisateurs d’EmEditor [Windows PowerShell]
Voir
Activité suspecte détectée dans l’installateur EmEditor compromis [Création de processus Windows]
Voir
Exécution de simulation
Prérequis: La vérification préalable de la télémétrie et de la ligne de base doit être réussie.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT directement refléter les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection.
-
Récit de l’attaque et commandes :
Un adversaire a compromis le paquet installateur officiel d’EmEditor. Après qu’une victime exécute l’installateur, le binaire malveillant contacte le domaine C2 codé en durcachingdrive.com/gate/init/2daef8cd. Cette requête sortante télécharge une charge utile secondaire qui élève les privilèges et collecte les identifiants. L’attaquant utilise une ligne de commande Windows standard (cmd.exe) pour lancer l’installateur, garantissant que l’URL malveillante apparaît littéralement dans l’événement de création de processus, ce qui correspond à la condition de correspondance de chaîne de la règle Sigma. -
Script de test de régression :
# -------------------------------------------------------------- # Exécution malveillante simulée d'un installateur EmEditor compromis # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" $maliciousUrl = "https://cachingdrive.com/gate/init/2daef8cd" # Assurez-vous que l'installateur existe (placeholder – dans un vrai test, copiez un exe bénin) if (-not (Test-Path $installerPath)) { Write-Error "Installateur non trouvé à $installerPath" exit 1 } # Exécuter l'installateur avec l'argument malveillant Write-Host "[*] Lancement de l'installateur compromis..." Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait Write-Host "[+] Exécution terminée. Vérifiez que la règle de détection a été déclenchée." # -------------------------------------------------------------- -
Commandes de nettoyage :
# -------------------------------------------------------------- # Supprimez tous les artefacts laissés par le test simulé # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "[*] Fichier binaire de l'installateur supprimé." } # (Optionnel) Supprimez les charges utiles téléchargées si elles ont été matérialisées $downloadedPath = "$env:TEMPpayload.bin" if (Test-Path $downloadedPath) { Remove-Item $downloadedPath -Force Write-Host "[*] Charge utile malveillante téléchargée supprimée." } # --------------------------------------------------------------