SOC Prime Bias: Critico

27 Gen 2026 17:21
newspaper icon Trend Micro

L’Attacco Watering Hole Mira agli Utenti di EmEditor con Malware per il Furto di Informazioni

Author Photo
Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime linkedin icon Segui
L’Attacco Watering Hole Mira agli Utenti di EmEditor con Malware per il Furto di Informazioni
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

Un installatore di EmEditor trojanizzato è stato sfruttato per distribuire una catena di malware a piĂą stadi. L’installatore compromesso estrae script PowerShell da domini controllati da attaccanti e quindi recupera carichi utili successivi che raccolgono credenziali, dettagli dell’host e dell’ambiente, ed esfiltrano i risultati. Il meccanismo di distribuzione si allinea con una tecnica di watering-hole, in cui il percorso di download del fornitore è compromesso per raggiungere gli utenti che cercano software legittimo.

Indagine

L’analisi ha determinato che il pacchetto MSI è stato modificato per eseguire un comando PowerShell incorporato che contattava domini spoofing a tema EmEditor. Lo script iniziale ha quindi scaricato due fasi aggiuntive responsabili del comportamento anti-analisi, del furto di credenziali e del fingerprinting del sistema, prima di trasmettere i dati raccolti a un server di comando e controllo. L’indagine ha documentato indicatori distintivi, inclusi stringhe uniche e URL specifici utilizzati lungo la catena di esecuzione.

Mitigazione

Verifica l’integritĂ  dell’installatore utilizzando la convalida della firma del codice del fornitore e il controllo degli hash prima del deploy. Applica controlli PowerShell strict e monitoraggio, e osserva comportamenti associati alla disattivazione di ETW o altre telemetrie. Implementa il filtraggio della rete per i domini malevoli identificati e allerta su attivitĂ  HTTPS in uscita anomale.

Risposta

Cerca la linea di comando PowerShell che fa riferimento ai domini malevoli, blocca gli URL/domini associati, isola gli endpoint interessati e conserva i reperti forensi come il MSI alterato. Esegui una revisione della catena di fornitura del flusso di distribuzione del fornitore e coordina la notifica agli utenti e le linee guida per la remediation.

“graph TB %% Class definitions classDef technique fill:#ffcc99 classDef file fill:#e6e6fa classDef command fill:#add8e6 classDef server fill:#ffd700 classDef tool fill:#d3d3d3 %% Technique nodes tech_T1195[“<b>Tecnica</b> – T1195 Compromissione della Catena di Fornitura:<br />Compromissione di una catena di fornitura software per distribuire un payload dannoso.”] class tech_T1195 technique tech_T1199[“<b>Tecnica</b> – T1199 Relazione di Fiducia:<br />Uso di una relazione di fiducia con un fornitore per consegnare contenuti dannosi.”] class tech_T1199 technique tech_T1546_016[“<b>Tecnica</b> – T1546.016 Esecuzione Attivata da Evento (Pacchetti Installer):<br />CustomAction nell’MSI esegue uno script quando l’installer viene eseguito.”] class tech_T1546_016 technique tech_T1059_001[“<b>Tecnica</b> – T1059.001 PowerShell:<br />Esecuzione di comandi PowerShell per scaricare ed eseguire payload.”] class tech_T1059_001 technique tech_T1027[“<b>Tecnica</b> – T1027 File o Informazioni Offuscati:<br />I payload sono fortemente offuscati tramite manipolazione di stringhe e codifica.”] class tech_T1027 technique tech_T1620[“<b>Tecnica</b> – T1620 Caricamento Riflessivo di Codice:<br />Il codice dannoso viene caricato in memoria riflessivamente senza toccare il disco.”] class tech_T1620 technique tech_T1497[“<b>Tecnica</b> – T1497 Evasione da Virtualizzazione/Sandbox:<br />Controlli per ambienti di analisi utilizzando attivitĂ  utente e logica basata sul tempo.”] class tech_T1497 technique tech_T1218_007[“<b>Tecnica</b> – T1218.007 Esecuzione di Proxy di Binari di Sistema:<br />Msiexec viene utilizzato come binario fidato per lanciare l’MSI dannoso.”] class tech_T1218_007 technique tech_T1555_004[“<b>Tecnica</b> – T1555.004 Credenziali da Archivi Password:<br />Estrazione di credenziali memorizzate dal Windows Credential Manager.”] class tech_T1555_004 technique tech_T1082[“<b>Tecnica</b> – T1082 Scoperta di Informazioni di Sistema:<br />Raccoglie dettagli su OS, hardware e software.”] class tech_T1082 technique tech_T1016_001[“<b>Tecnica</b> – T1016.001 Scoperta della Connessione Internet:<br />Determina lo stato della connettivitĂ  di rete.”] class tech_T1016_001 technique tech_T1592_002[“<b>Tecnica</b> – T1592.002 Raccolta di Informazioni sull’Ospite Vittima (Software):<br />Enumera le applicazioni installate e le versioni.”] class tech_T1592_002 technique tech_T1102[“<b>Tecnica</b> – T1102 Servizio Web:<br />Utilizza servizi web HTTPS per la comunicazione di comando e controllo.”] class tech_T1102 technique tech_T1090_002[“<b>Tecnica</b> – T1090.002 Proxy Esterno:<br />Il traffico è instradato attraverso un server proxy esterno.”] class tech_T1090_002 technique tech_T1070_001[“<b>Tecnica</b> – T1070.001 Rimozione degli Indicatori (Cancellazione dei Log degli Eventi di Windows):<br />Disabilita ETW e cancella i log per nascondere l’attivitĂ .”] class tech_T1070_001 technique tech_T1546_013[“<b>Tecnica</b> – T1546.013 Esecuzione Attivata da Evento (Profilo PowerShell):<br />Persistenza tramite script profilo PowerShell dannoso.”] class tech_T1546_013 technique tech_T1068[“<b>Tecnica</b> – T1068 Sfruttamento per l’Escalation dei Privilegi:<br />Potenziale uso di exploit locali per ottenere privilegi piĂą elevati.”] class tech_T1068 technique %% File, tool, command and server nodes file_msi[“<b>File</b> – EmEditor.msi:<br />Installer MSI compromesso ospitato sulla pagina di download del fornitore.”] class file_msi file tool_msiexec[“<b>Strumento</b> – Msiexec:<br />Eseguibile di Windows Installer utilizzato per eseguire l’MSI dannoso.”] class tool_msiexec tool command_ps[“<b>Comando</b> – PowerShell:<br />CustomAction esegue PowerShell che scarica script tramite Invoke-WebRequest.”] class command_ps command server_c2[“<b>Server</b> – C2 HTTPS:<br />https://cachingdrive.com/gate/init/2daef8cd”] class server_c2 server %% Connections showing attack flow tech_T1195 u002du002d>|delivery| file_msi tech_T1199 u002du002d>|downloads| file_msi file_msi u002du002d>|eseguito da| tool_msiexec tool_msiexec u002du002d>|attiva| tech_T1546_016 tech_T1546_016 u002du002d>|esegue| command_ps command_ps u002du002d>|esegue| tech_T1059_001 command_ps u002du002d>|usa offuscamento| tech_T1027 command_ps u002du002d>|carica codice riflessivamente| tech_T1620 command_ps u002du002d>|svolge controlli sandbox| tech_T1497 command_ps u002du002d>|esecuzione proxy tramite msiexec| tech_T1218_007 command_ps u002du002d>|estrae credenziali| tech_T1555_004 command_ps u002du002d>|raccoglie info di sistema| tech_T1082 command_ps u002du002d>|scopre connessione internet| tech_T1016_001 command_ps u002du002d>|enumera software| tech_T1592_002 command_ps u002du002d>|comunica con| server_c2 server_c2 u002du002d>|utilizza| tech_T1102 server_c2 u002du002d>|instrada attraverso| tech_T1090_002 command_ps u002du002d>|cancella log| tech_T1070_001 command_ps u002du002d>|stabilisce persistenza| tech_T1546_013 command_ps u002du002d>|può attivare| tech_T1068 “

Flusso di Attacco

Esecuzione Simulation

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere stato superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) designata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa e Comandi di Attacco:
    Un avversario ha compromesso il pacchetto ufficiale dell’installatore di EmEditor. Dopo che una vittima esegue l’installatore, il binario malevolo contatta il dominio C2 codificato cachingdrive.com/gate/init/2daef8cd. Questa richiesta in uscita scarica un payload secondario che eleva i privilegi e raccoglie credenziali. L’attaccante utilizza una linea di comando standard di Windows (cmd.exe) per avviare l’installatore, assicurandosi che l’URL malevolo appaia testualmente nell’evento di creazione processo, corrispondente alla condizione di corrispondenza della stringa della regola Sigma.

  • Script di Test di Regressione:

    # --------------------------------------------------------------
# Esecuzione malevola simulata di un installatore di EmEditor compromesso
# --------------------------------------------------------------
$installerPath = "C:TempEmEditorSetup.exe"
$maliciousUrl   = "https://cachingdrive.com/gate/init/2daef8cd"

# Assicurati che l'installatore esista (segnaposto – in un test reale, copia un exe innocuo)
if (-not (Test-Path $installerPath)) {
    Write-Error "Installer non trovato a $installerPath"
    exit 1
}

# Esegui l'installatore con l'argomento malevolo
Write-Host "[*] Avvio installatore compromesso..."
Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait

Write-Host "[+] Esecuzione completa. Verifica che la regola di rilevamento sia stata attivata."
# --------------------------------------------------------------

  • Comandi di Pulizia:

    # --------------------------------------------------------------
# Rimuovi eventuali elementi residui lasciati dal test simulato
# --------------------------------------------------------------
$installerPath = "C:TempEmEditorSetup.exe"

if (Test-Path $installerPath) {
    Remove-Item $installerPath -Force
    Write-Host "[*] Rimosso il binario dell'installatore."
}

# (Opzionale) Elimina payload scaricati se si sono materializzati
$downloadedPath = "$env:TEMPpayload.bin"
if (Test-Path $downloadedPath) {
    Remove-Item $downloadedPath -Force
    Write-Host "[*] Rimosso il payload malevolo scaricato."
}
# --------------------------------------------------------------

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilitĂ  sulle minacce piĂą rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis