Watering Hole Attack Targets EmEditor Users with Information‑Stealing Malware
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Троянізований інсталятор EmEditor був використаний для поширення багатоступеневого ланцюга зловмисного програмного забезпечення. Компрометований інсталятор завантажує PowerShell-скрипти з доменів, контрольованих атакуючими, а потім отримує наступні завантаження, які збирають облікові дані, деталі хосту та середовища, а також ексфільтрують результати. Механізм доставки співпадає з технікою “водопій”, коли шлях завантаження у постачальника компрометується, щоб дістатися до користувачів, які шукають легальне програмне забезпечення.
Розслідування
Аналіз виявив, що пакет MSI було змінено для запуску вбудованої команди PowerShell, яка зв’язувалася зі сфальсифікованими доменами з тематикою EmEditor. Початковий скрипт потім завантажував дві додаткові стадії, відповідальні за антианалізну поведінку, крадіжку облікових даних та фіксацію системи, перед тим як переслати зібрані дані на сервер командного управління. Розслідування задокументувало конкретні індикатори, включаючи унікальні рядки і специфічні URL-адреси, що використовувалися в ланцюзі виконання.
Пом’якшення
Перевірте цілісність інсталяційного файлу, використовуючи перевірку підпису коду постачальника та перевірку хешів перед розгортанням. Застосуйте суворі контролі та моніторинг PowerShell, і спостерігайте за поведінкою, пов’язаною з відключенням ETW або іншого телеметрії. Впровадьте фільтрацію мережі для виявлених зловмисних доменів і сповіщайте про аномальну вихідну HTTPS-активність.
Реагування
Полюйте на командний рядок PowerShell, що згадує зловмисні домени, блокуйте відповідні URL/домени, ізолюйте постраждалі кінцеві точки та зберігайте судово-медичні артефакти, такі як змінений MSI. Проведіть огляд ланцюга поставок для робочого процесу розповсюдження постачальника та координуйте повідомлення користувачів і надання рекомендацій з усунення.
Потік атаки
Детекції
Завантаження або вивантаження через Powershell (через cmdline)
Перегляд
Можливий проект NoMSbuild (через powershell)
Перегляд
Виклик підозрілих методів .NET з Powershell (через powershell)
Перегляд
Підозрілі рядки Powershell (через powershell)
Перегляд
Зловмисне спілкування EmEditor з сервером C&C та фіксація системи [Windows Network Connection]
Перегляд
Виявлення зловмисних команд PowerShell, що націлені на користувачів EmEditor [Windows Powershell]
Перегляд
Виявлено підозрілу діяльність у компрометованому інсталяторі EmEditor [Windows Створення процесу]
Перегляд
Виконання симуляції
Передумови: перевірка телеметрії та базового рівня повинні пройти.
Обґрунтування: Цей розділ детально описує точне виконання техніки зловмисника (TTP), призначеної для запуску правила детекції. Команди та опис повинні безпосередньо відображати виявлені ТТр та спрямовуватися на генерацію тієї самої телеметрії, яку очікує логіка детекції.
-
Оповідь атаки та команди:
Зловмисник компрометував офіційний інсталяційний пакет EmEditor. Після запуску інсталятора жертвою, шкідливий виконуваний файл звертається до закодованого домену C2cachingdrive.com/gate/init/2daef8cd. Цей вихідний запит завантажує вторинне навантаження, яке підвищує привілеї та викрадає облікові дані. Атакуючий використовує стандартну командну лінію Windows (cmd.exe) для запуску інсталятора, забезпечуючи, щоб зловмисний URL-адрес з’являвся у процесі створення події, що відповідає умові шуканої рядки правила Sigma. -
Скрипт регресійного тестування:
# -------------------------------------------------------------- # Імітація зловмисного виконання компрометованого інсталятора EmEditor # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" $maliciousUrl = "https://cachingdrive.com/gate/init/2daef8cd" # Переконайтеся, що інсталятор існує (заповнювач – у реальному тесті, скопіюйте безпечний exe) if (-not (Test-Path $installerPath)) { Write-Error "Інсталятор не знайдено за адресою $installerPath" exit 1 } # Виконайте інсталятор з зловмисним аргументом Write-Host "[*] Запуск компрометованого інсталятора..." Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait Write-Host "[+] Виконання завершено. Перевірте, чи спрацювало правило детекції." # -------------------------------------------------------------- -
Команди очищення:
# -------------------------------------------------------------- # Видалення будь-яких артефактів, залишених симульованим тестом # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "[*] Видалено бінарний файл інсталятора." } # (Опціонально) Видаліть завантажені навантаження, якщо вони були матеріалізовані $downloadedPath = "$env:TEMPpayload.bin" if (Test-Path $downloadedPath) { Remove-Item $downloadedPath -Force Write-Host "[*] Видалено завантажене зловмисне навантаження." } # --------------------------------------------------------------