Анализ инцидента в цепочке поставок EmEditor: тактика, артефакты и инфраструктура угрозы

Хронология атаки и тактика противника

Атака началась с подготовки инфраструктуры: за несколько дней до первой волны были зарегистрированы домены, имитирующие легитимные ресурсы. Первая волна стартовала 19 декабря, когда кнопка загрузки на официальном сайте была перенаправлена на подмененный установщик. Этот файл был обманным путем подписан от имени компании "WALSHAM INVESTMENTS LIMITED", а не вендора Emurasoft. После короткой паузы 29 декабря последовала вторая волна, нацеленная на только что выпущенную версию 25.4.4. Противник зарегистрировал новые домены и повторно подписал установщики. Важно отметить, что самый ранний вредоносный MSI-файл оказался неработоспособным из-за ошибки в скрипте, допущенной самими злоумышленниками.

«Найди зло - сравни с нормой»: анализ установщиков

Ключевым методом расследования стал сравнительный анализ легитимных и скомпрометированных установщиков Windows (MSI). Исследователи использовали подход, известный как "Find Evil - Diff Normal". Сравнивая списки извлеченных файлов, они обнаружили добавленный злоумышленниками Visual Basic Script с именем "PatchFile". Этот скрипт был внедрен в таблицы MSI, отвечающие за последовательность действий при установке.

Анализ показал, что противник перезаписал встроенное действие "PatchFiles" на кастомное "PatchFile" с сохранением исходного порядкового номера в последовательности. Это кастомное действие запускало вредоносный скрипт. Примечательно, что в первой, нерабочей версии, злоумышленники ошибочно использовали командлет PowerShell "Invoke-WebRequest" вместо "Invoke-RestMethod" для загрузки следующей стадии полезной нагрузки (payload), что привело к сбою. В последующих версиях эта ошибка была исправлена.

Цифровые отпечатки в метаданных

Богатым источником доказательств стали метаданные MSI, в частности поток SummaryInformation. Автоматизированный процесс сборки вендора оставляет тесно сгруппированные временные метки. В подмененных установщиках одна из меток - "LastSaveTime" - заметно выделялась, отстоя от других на несколько дней, что прямо указывало на вмешательство извне. Кроме того, злоумышленники оставили в поле "LastSavedBy" имя пользователя "amie", которое может служить слабым индикатором для корреляции с другими атаками.

Еще одним детерминированным артефактом стал порядок свойств в наборе SummaryInformation. Анализ уникальных идентификаторов (UUID), сгенерированных на основе этого порядка, позволил четко разделить все установщики на два кластера: оригинальные сборки вендора и измененные противником. Этот метод обеспечивает высокую точность в идентификации поддельных файлов.

Инфраструктура командования и управления (C2)

Расследование выявило долгоживущую и развивающуюся инфраструктуру. C2-сервер, использовавшийся в атаке, отвечал на запросы перенаправлением (HTTP 301) на URL для загрузки PowerShell-степлера. Хеширование ответов сервера (которым являлся, например, простой символ точки с запятой) позволило обнаружить связанные домены, использовавшиеся в других кампаниях. Одна группа доменов была зарегистрирована еще в апреле-июне 2025 года, а другая - непосредственно перед и во время атак на EmEditor в декабре 2025 - январе 2026 года.

Обращает на себя внимание домен "emurasoftwares[.]com", зарегистрированный прямо перед второй волной атаки. Он был связан с тем же IP-адресом, что и другие домены, использовавшиеся в компрометации, но не был обнаружен в публичных образцах вредоносного ПО, что указывает на его подготовительную роль. Сходство методов обфускации в PowerShell-скриптах более старых кампаний и в атаке на EmEditor также свидетельствует о возможной связи или повторном использовании инструментов одной и той же группировкой.

Выводы и рекомендации для защитников

Этот инцидент подчеркивает, что возможности для эффективной обороны зачастую возникают еще до этапа доставки вредоносного кода. Ключевые рекомендации для организаций включают несколько направлений. Во-первых, мониторинг бренда и регистрации доменов-подделок может служить системой раннего предупреждения, давая защитникам несколько драгоценных дней для принятия мер. Во-вторых, необходимо иметь заранее подготовленные сценарии реагирования на подобные события, включая взаимодействие с регистраторами и активный поиск угроз.

Наиболее важной является реализация контроля целостности цепочки поставок программного обеспечения. Внедрение практик, таких как анализ различий (diffing) между сборками, проверка цифровых подписей, использование реестров SBOM (Software Bill of Materials) и обеспечение воспроизводимости сборок, значительно повышает стоимость атаки для злоумышленников. Комбинация раннего обнаружения инфраструктурных приготовлений и строгого контроля целостности программных артефактов создает серьезное препятствие для современных угроз, смещая баланс в пользу защитников.

IPv4

• 138.124.67.183
• 147.45.50.54
• 185.178.231.112
• 46.28.70.245
• 5.101.82.118
• 5.101.82.159
• 64.188.83.146
• 79.132.130.62
• 81.90.29.48
• 89.169.15.2
• 93.152.217.77

Domains

• 08qodmaloshm5zrwhww.xyz
• 0xax86xdizce7kg9cpdk.online
• 1a298k7iqspq52l4r9e.space
• 4kkaxgfdw7l1yvv4t9v.com
• 795n5qr4vk02wibh.com
• 8mfi71rtud8fov5.org
• 8mrzhrdm0obptpp.com
• 973jgnzjgnwupd1nu.space
• afdwtyy38efzk.app
• brt461jnbjvm52mw.biz
• cachingdrive.com
• daj54smzpklt5kjq.space
• emeditorde.com
• emeditorgb.com
• emeditorjapan.com
• emeditorjp.com
• emeditorltd.com
• emedjp.com
• emedorg.com
• emurasoftwares.com
• gs9uuz4h0510qhob.io
• keyactivate.cc
• orangewater00.com
• WebNic.cc
• z2ctmmm61dm0c3wfic.store

URLs

• https://4kkaxgfdw7l1yvv4t9v.com/take/XstQk8Ja/{UUID}
• https://795n5qr4vk02wibh.com/take/WWboshwF/{UUID}
• https://8mrzhrdm0obptpp.com/take/hAUjZrJo/{UUID}
• https://keyactivate.cc/gate/start/e805d522
• https://orangewater00.com/run/mMbcjy2q

SHA256

• 0727237bb0aee8ac452eeeb2250cf9760ed78a67115c6466b8c4414e3d89a1c7
• 0af7d28482a67828e62972085b5000bfe3d8b81200e9e51b86db0a9a8e720c8f
• 10a4d863e7b90372c5de25dc9eea9cc107625e7389cd0fb500f5a99c43d39db8
• 12ef3b455e93ac089495bbbf432a1c20c041bfde17903d154e4c730248f294f9
• 30862ae481048915ea927c6c57b6a7d7611eada62c972dacc8d1bb1545937cf9
• 3225ae94dcda9e408d87ec48694d7bfe60b125dfb4cd0c4bf19ade3772be7519
• 3d1763b037e66bbde222125a21b23fc24abd76ebab40589748ac69e2f37c27fc
• 45d4802564ceadc829898791bda4a2ac6351ef529701200009b2f00b8d63c93b
• 4bea333d3d2f2a32018cd6afe742c3b25bfcc6bfe8963179dad3940305b13c98
• 511d5dd4cfc7c7d5297d31bb234669fdf01b41da4b2399e039385c0b130021f4
• 5c182c9ff2429f6f56952c3ddd20684aefd026f2f094ee216335186551c939b8
• 660fdf42c9c32a68fc36dfd8b009dfc57f9424c6a77e8525fab044bbf419829b
• 78d2244ea1c3cca2d18f754a9f0e15cabe2859817dfa803583901139764a0e6c
• 7ec4ec4511404553934e0bf08f3f124544f9a76857089feb96277ddad4f15592
• 9a5be7789d31b5b0bcb92b807efffa4d96292b093921076b678a2234b30b8423
• 9bb8543453878d3390593ff76f9ab6dc8209e14f64dea51f82882309fd6ede23
• a04727075910c90456043985e9d5119342adc77f1b45e76a7e1a79f92c1facd6
• a310dcb08c77acfeda03437bc4b0f180198de9c9832df2cbb64758c82eb774c7
• ad84f28e9bb0fcaf30846b2563a353b649ab6dc85b36d4bf58ee61a2a95b740a
• bcfda6fca68dfa203de0db0624b73a9ac22592eae708c12f17d4fff8ec99e9fc
• c0bbfb17e2817567265f46cbad61cb5922c67931c6fc2d9d59fb071fe214d411
• d5f5a1b854eaa992731c6e17f10fe73987730e783697ecff85514c85dcff7f9f
• da59acc764bbd6b576bef6b1b9038f592ad4df0eed894b0fbd3931f733622a1a
• edce6cabb33e84ffb4be9ee3377f326657e16b005f90d22267e0dfaab9561366