SOC Prime Bias: Критичний

27 Jan 2026 14:21 UTC

Watering Hole Attack Targets EmEditor Users with Information‑Stealing Malware

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Watering Hole Attack Targets EmEditor Users with Information‑Stealing Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Троянізований інсталятор EmEditor був використаний для поширення багатоступеневого ланцюга зловмисного програмного забезпечення. Компрометований інсталятор завантажує PowerShell-скрипти з доменів, контрольованих атакуючими, а потім отримує наступні завантаження, які збирають облікові дані, деталі хосту та середовища, а також ексфільтрують результати. Механізм доставки співпадає з технікою “водопій”, коли шлях завантаження у постачальника компрометується, щоб дістатися до користувачів, які шукають легальне програмне забезпечення.

Розслідування

Аналіз виявив, що пакет MSI було змінено для запуску вбудованої команди PowerShell, яка зв’язувалася зі сфальсифікованими доменами з тематикою EmEditor. Початковий скрипт потім завантажував дві додаткові стадії, відповідальні за антианалізну поведінку, крадіжку облікових даних та фіксацію системи, перед тим як переслати зібрані дані на сервер командного управління. Розслідування задокументувало конкретні індикатори, включаючи унікальні рядки і специфічні URL-адреси, що використовувалися в ланцюзі виконання.

Пом’якшення

Перевірте цілісність інсталяційного файлу, використовуючи перевірку підпису коду постачальника та перевірку хешів перед розгортанням. Застосуйте суворі контролі та моніторинг PowerShell, і спостерігайте за поведінкою, пов’язаною з відключенням ETW або іншого телеметрії. Впровадьте фільтрацію мережі для виявлених зловмисних доменів і сповіщайте про аномальну вихідну HTTPS-активність.

Реагування

Полюйте на командний рядок PowerShell, що згадує зловмисні домени, блокуйте відповідні URL/домени, ізолюйте постраждалі кінцеві точки та зберігайте судово-медичні артефакти, такі як змінений MSI. Проведіть огляд ланцюга поставок для робочого процесу розповсюдження постачальника та координуйте повідомлення користувачів і надання рекомендацій з усунення.

Потік атаки

Виконання симуляції

Передумови: перевірка телеметрії та базового рівня повинні пройти.

Обґрунтування: Цей розділ детально описує точне виконання техніки зловмисника (TTP), призначеної для запуску правила детекції. Команди та опис повинні безпосередньо відображати виявлені ТТр та спрямовуватися на генерацію тієї самої телеметрії, яку очікує логіка детекції.

  • Оповідь атаки та команди:
    Зловмисник компрометував офіційний інсталяційний пакет EmEditor. Після запуску інсталятора жертвою, шкідливий виконуваний файл звертається до закодованого домену C2 cachingdrive.com/gate/init/2daef8cd. Цей вихідний запит завантажує вторинне навантаження, яке підвищує привілеї та викрадає облікові дані. Атакуючий використовує стандартну командну лінію Windows (cmd.exe) для запуску інсталятора, забезпечуючи, щоб зловмисний URL-адрес з’являвся у процесі створення події, що відповідає умові шуканої рядки правила Sigma.

  • Скрипт регресійного тестування:

    # --------------------------------------------------------------
    # Імітація зловмисного виконання компрометованого інсталятора EmEditor
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    $maliciousUrl = "https://cachingdrive.com/gate/init/2daef8cd"
    
    # Переконайтеся, що інсталятор існує (заповнювач – у реальному тесті, скопіюйте безпечний exe)
    if (-not (Test-Path $installerPath)) {
        Write-Error "Інсталятор не знайдено за адресою $installerPath"
        exit 1
    }
    
    # Виконайте інсталятор з зловмисним аргументом
    Write-Host "[*] Запуск компрометованого інсталятора..."
    Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait
    
    Write-Host "[+] Виконання завершено. Перевірте, чи спрацювало правило детекції."
    # --------------------------------------------------------------
  • Команди очищення:

    # --------------------------------------------------------------
    # Видалення будь-яких артефактів, залишених симульованим тестом
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    
    if (Test-Path $installerPath) {
        Remove-Item $installerPath -Force
        Write-Host "[*] Видалено бінарний файл інсталятора."
    }
    
    # (Опціонально) Видаліть завантажені навантаження, якщо вони були матеріалізовані
    $downloadedPath = "$env:TEMPpayload.bin"
    if (Test-Path $downloadedPath) {
        Remove-Item $downloadedPath -Force
        Write-Host "[*] Видалено завантажене зловмисне навантаження."
    }
    # --------------------------------------------------------------