L’Attacco Watering Hole Mira agli Utenti di EmEditor con Malware per il Furto di Informazioni
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un installatore di EmEditor trojanizzato è stato sfruttato per distribuire una catena di malware a più stadi. L’installatore compromesso estrae script PowerShell da domini controllati da attaccanti e quindi recupera carichi utili successivi che raccolgono credenziali, dettagli dell’host e dell’ambiente, ed esfiltrano i risultati. Il meccanismo di distribuzione si allinea con una tecnica di watering-hole, in cui il percorso di download del fornitore è compromesso per raggiungere gli utenti che cercano software legittimo.
Indagine
L’analisi ha determinato che il pacchetto MSI è stato modificato per eseguire un comando PowerShell incorporato che contattava domini spoofing a tema EmEditor. Lo script iniziale ha quindi scaricato due fasi aggiuntive responsabili del comportamento anti-analisi, del furto di credenziali e del fingerprinting del sistema, prima di trasmettere i dati raccolti a un server di comando e controllo. L’indagine ha documentato indicatori distintivi, inclusi stringhe uniche e URL specifici utilizzati lungo la catena di esecuzione.
Mitigazione
Verifica l’integrità dell’installatore utilizzando la convalida della firma del codice del fornitore e il controllo degli hash prima del deploy. Applica controlli PowerShell strict e monitoraggio, e osserva comportamenti associati alla disattivazione di ETW o altre telemetrie. Implementa il filtraggio della rete per i domini malevoli identificati e allerta su attività HTTPS in uscita anomale.
Risposta
Cerca la linea di comando PowerShell che fa riferimento ai domini malevoli, blocca gli URL/domini associati, isola gli endpoint interessati e conserva i reperti forensi come il MSI alterato. Esegui una revisione della catena di fornitura del flusso di distribuzione del fornitore e coordina la notifica agli utenti e le linee guida per la remediation.
Flusso di Attacco
Rilevamenti
Download o Upload tramite Powershell (tramite cmdline)
Visualizza
Progetto NoMSbuild Possibile (tramite powershell)
Visualizza
Chiama Metodi .NET Sospetti da Powershell (tramite powershell)
Visualizza
Stringhe Powershell Sospette (tramite powershell)
Visualizza
Comunicazione C&C e Fingerprinting di Sistema Malware EmEditor [Connessione di Rete Windows]
Visualizza
Rilevamento di Comandi PowerShell Malevoli a Target EmEditor [Windows Powershell]
Visualizza
Attività Sospetta Rilevata nell’Installatore di EmEditor Compromesso [Creazione Processo Windows]
Visualizza
Esecuzione Simulation
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere stato superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) designata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa e Comandi di Attacco:
Un avversario ha compromesso il pacchetto ufficiale dell’installatore di EmEditor. Dopo che una vittima esegue l’installatore, il binario malevolo contatta il dominio C2 codificatocachingdrive.com/gate/init/2daef8cd. Questa richiesta in uscita scarica un payload secondario che eleva i privilegi e raccoglie credenziali. L’attaccante utilizza una linea di comando standard di Windows (cmd.exe) per avviare l’installatore, assicurandosi che l’URL malevolo appaia testualmente nell’evento di creazione processo, corrispondente alla condizione di corrispondenza della stringa della regola Sigma. -
Script di Test di Regressione:
# -------------------------------------------------------------- # Esecuzione malevola simulata di un installatore di EmEditor compromesso # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" $maliciousUrl = "https://cachingdrive.com/gate/init/2daef8cd" # Assicurati che l'installatore esista (segnaposto – in un test reale, copia un exe innocuo) if (-not (Test-Path $installerPath)) { Write-Error "Installer non trovato a $installerPath" exit 1 } # Esegui l'installatore con l'argomento malevolo Write-Host "[*] Avvio installatore compromesso..." Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait Write-Host "[+] Esecuzione completa. Verifica che la regola di rilevamento sia stata attivata." # -------------------------------------------------------------- -
Comandi di Pulizia:
# -------------------------------------------------------------- # Rimuovi eventuali elementi residui lasciati dal test simulato # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "[*] Rimosso il binario dell'installatore." } # (Opzionale) Elimina payload scaricati se si sono materializzati $downloadedPath = "$env:TEMPpayload.bin" if (Test-Path $downloadedPath) { Remove-Item $downloadedPath -Force Write-Host "[*] Rimosso il payload malevolo scaricato." } # --------------------------------------------------------------