SOC Prime Bias: クリティカル

27 Jan 2026 14:21 UTC

ウォータリングホール攻撃がEmEditorユーザーを情報窃盗マルウェアで狙う

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
ウォータリングホール攻撃がEmEditorユーザーを情報窃盗マルウェアで狙う
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

要約

トロイの木馬化された EmEditor インストーラーが、多段階マルウェアチェーンを配布するために利用されました。侵害されたインストーラーは、攻撃者が制御するドメインから PowerShell スクリプトを取得し、その後、資格情報を収集し、ホストおよび環境の詳細を収集し、結果を抽出するフォローオンペイロードを取得します。配信メカニズムはウォータリングホール技法と一致し、ベンダーのダウンロードパスが侵害され、正当なソフトウェアを求めるユーザーに到達します。

調査

分析により、MSI パッケージが修正され、エンベデッド PowerShell コマンドを実行して偽装された EmEditor テーマのドメインに接触することが判明しました。最初のスクリプトは、その後、二つの追加ステージをダウンロードし、分析回避行動、資格情報の窃取、およびシステムの指紋化を行い、収集したデータをコマンド&コントロールサーバーに送信します。調査では、実行チェーン全体で使用された特定の URL や一意の文字列を含む明確な指標が文書化されました。

緩和策

デプロイ前にベンダー署名検証およびハッシュチェックを使用してインストーラの整合性を確認します。PowerShell の厳格な制御と監視を適用し、ETW やその他のテレメトリを無効化する動作に注意してください。特定された悪意のあるドメインのネットワークフィルタリングを実施し、異常なアウトバウンド HTTPS アクティビティに警告を発します。

対応策

悪意のあるドメインを参照する PowerShell コマンドラインを探し、関連する URL/ドメインをブロックし、影響を受けたエンドポイントを隔離し、改ざんされた MSI などの法医学的アーティファクトを保持します。ベンダー配布ワークフローのサプライチェーンレビューを行い、ユーザー通知と修復指針を調整します。

攻撃フロー

シミュレーション実行

前提条件: テレメトリー & ベースライン プリフライト チェックが合格している必要があります。

理由: このセクションは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳述します。コマンドと物語は、特定されたTTPを直接反映し、検出論理によって期待される正確なテレメトリーを生成することを目的としています。

  • 攻撃の説明とコマンド:
    敵は公式のEmEditorインストーラーパッケージを侵害しました。被害者がインストーラーを実行した後、悪意のあるバイナリはハードコーディングされたC2ドメインにアクセスします。 cachingdrive.com/gate/init/2daef8cd。このアウトバウンドリクエストは、特権を昇格させ、資格情報を収集する二次ペイロードをダウンロードします。攻撃者は、標準のWindowsコマンドライン(cmd.exe)を使用してインストーラーを起動し、Sigmaルールの文字列一致条件に一致するプロセス生成イベントに悪意のあるURLが文字通り表示されるようにします。

  • リグレッションテストスクリプト:

    # --------------------------------------------------------------
    # 侵害されたEmEditorインストーラーの悪意のある実行のシミュレーション
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    $maliciousUrl   = "https://cachingdrive.com/gate/init/2daef8cd"
    
    # インストーラーが存在することを確認する(プレースホルダー–実際のテストでは無害なexeをコピーする)
    if (-not (Test-Path $installerPath)) {
        Write-Error "インストーラーが $installerPath に見つかりません"
        exit 1
    }
    
    # 悪意のある引数でインストーラーを実行する
    Write-Host "[*] 改ざんされたインストーラーを起動中..."
    Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait
    
    Write-Host "[+] 実行完了。検出ルールが発動したことを確認します。"
    # --------------------------------------------------------------
  • クリーンアップコマンド:

    # --------------------------------------------------------------
    # シミュレーテッドテストによって残されたアーティファクトを削除する
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    
    if (Test-Path $installerPath) {
        Remove-Item $installerPath -Force
        Write-Host "[*] インストーラーバイナリを削除しました。"
    }
    
    # (オプション)ダウンロードされたペイロードが物理的に存在する場合、それを削除する
    $downloadedPath = "$env:TEMPpayload.bin"
    if (Test-Path $downloadedPath) {
        Remove-Item $downloadedPath -Force
        Write-Host "[*] ダウンロードされた悪意のあるペイロードを削除しました。"
    }
    # --------------------------------------------------------------