Attaque Point d’Eau Cible les Utilisateurs d’EmEditor avec un Malware Voleur d’Informations
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un installateur d’EmEditor infecté par un cheval de Troie a été utilisé pour distribuer une chaîne de logiciels malveillants à plusieurs étapes. L’installateur compromis extrait des scripts PowerShell à partir de domaines contrôlés par des attaquants, puis récupère des charges utiles complémentaires qui collectent des informations d’identification, des détails sur l’hôte et l’environnement, et exfiltrent les résultats. Le mécanisme de livraison s’aligne avec une technique de point d’eau, où le chemin de téléchargement du fournisseur est compromis pour atteindre les utilisateurs cherchant un logiciel légitime.
Enquête
L’analyse a déterminé que le paquet MSI avait été modifié pour exécuter une commande PowerShell intégrée qui contacte des domaines usurpés à thème EmEditor. Le script initial télécharge ensuite deux étapes supplémentaires responsables d’un comportement anti-analyse, du vol d’identifiants, et du profilage système, avant de transmettre les données collectées à un serveur de commande et de contrôle. L’enquête a documenté des indicateurs distincts, comprenant des chaînes uniques et des URL spécifiques utilisées tout au long de la chaîne d’exécution.
Atténuation
Vérifiez l’intégrité de l’installateur en utilisant la validation de signature du fournisseur et des vérifications de hachage avant le déploiement. Appliquez des contrôles et une surveillance stricts de PowerShell, et surveillez les comportements associés à la désactivation d’ETW ou d’autres télémetries. Mettez en place un filtrage réseau pour les domaines malveillants identifiés et alertez sur une activité HTTPS sortante anormale.
Réponse
Recherchez la ligne de commande PowerShell faisant référence aux domaines malveillants, bloquez les URL/domaines associés, isolez les points d’extrémité impactés, et préservez les artefacts forensiques tels que le MSI modifié. Effectuez un examen de la chaîne d’approvisionnement du flux de distribution du fournisseur et coordonnez la notification des utilisateurs et des conseils de remédiation.
Flux d’attaque
Détections
Téléchargement ou envoi via PowerShell (via cmdline)
Voir
Possible projet NoMSbuild (via PowerShell)
Voir
Appeler des méthodes .NET suspectes depuis PowerShell (via PowerShell)
Voir
Chaînes PowerShell suspectes (via PowerShell)
Voir
Communication de commande et de contrôle et profilage système de Malware EmEditor [Connexion réseau Windows]
Voir
Détection des commandes PowerShell malveillantes ciblant les utilisateurs d’EmEditor [Windows PowerShell]
Voir
Activité suspecte détectée dans l’installateur EmEditor compromis [Création de processus Windows]
Voir
Exécution de simulation
Prérequis: La vérification préalable de la télémétrie et de la ligne de base doit être réussie.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT directement refléter les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection.
-
Récit de l’attaque et commandes :
Un adversaire a compromis le paquet installateur officiel d’EmEditor. Après qu’une victime exécute l’installateur, le binaire malveillant contacte le domaine C2 codé en durcachingdrive.com/gate/init/2daef8cd. Cette requête sortante télécharge une charge utile secondaire qui élève les privilèges et collecte les identifiants. L’attaquant utilise une ligne de commande Windows standard (cmd.exe) pour lancer l’installateur, garantissant que l’URL malveillante apparaît littéralement dans l’événement de création de processus, ce qui correspond à la condition de correspondance de chaîne de la règle Sigma. -
Script de test de régression :
# -------------------------------------------------------------- # Exécution malveillante simulée d'un installateur EmEditor compromis # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" $maliciousUrl = "https://cachingdrive.com/gate/init/2daef8cd" # Assurez-vous que l'installateur existe (placeholder – dans un vrai test, copiez un exe bénin) if (-not (Test-Path $installerPath)) { Write-Error "Installateur non trouvé à $installerPath" exit 1 } # Exécuter l'installateur avec l'argument malveillant Write-Host "[*] Lancement de l'installateur compromis..." Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait Write-Host "[+] Exécution terminée. Vérifiez que la règle de détection a été déclenchée." # -------------------------------------------------------------- -
Commandes de nettoyage :
# -------------------------------------------------------------- # Supprimez tous les artefacts laissés par le test simulé # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "[*] Fichier binaire de l'installateur supprimé." } # (Optionnel) Supprimez les charges utiles téléchargées si elles ont été matérialisées $downloadedPath = "$env:TEMPpayload.bin" if (Test-Path $downloadedPath) { Remove-Item $downloadedPath -Force Write-Host "[*] Charge utile malveillante téléchargée supprimée." } # --------------------------------------------------------------