Компрометация EmEditor: масштабная атака на цепочку поставок угрожает государственным и корпоративным данным

По данным исследователей из группы RedDrip Threat Intelligence Center, инцидент представляет серьёзную угрозу безопасности. EmEditor имеет значительную пользовательскую базу, особенно среди технических специалистов, разработчиков и операторов, работающих с конфиденциальной информацией. Учитывая характер вредоносного ПО (malware), распространяемого через скомпрометированные установщики, эксперты оценивают потенциальное воздействие атаки как высокое для государственных и корпоративных учреждений.

Анализ вредоносного образца выявил сложную многоэтапную атаку, направленную на хищение данных. Внедрённый в установочный пакет скрипт отключает логирование и инициирует сбор системной информации. Собранные данные, включая версию ОС, имя пользователя и другие детали, шифруются с использованием RSA и передаются на управляющий сервер (C2) злоумышленников по адресу https://emeditorgb.com/take/mg8heP0r/.

Основная вредоносная нагрузка (payload) представляет собой функциональный стилер (stealer), предназначенный для кражи критически важной информации. Он систематически сканирует системные директории пользователя, такие как "Рабочий стол", "Документы" и "Загрузки", составляя список файлов. Кроме того, стилер целенаправленно извлекает конфигурации VPN, учётные данные Windows, а также данные браузеров - cookies, историю посещений, сохранённые пароли и настройки.

Особую опасность представляет модуль, нацеленный на сбор информации из более чем полутора десятков популярных приложений для коммуникации и работы. В список целей входят клиенты Zoho Mail, Discord, Skype, Microsoft Teams, Zoom, а также мессенджеры Telegram и Slack, средства для удалённого доступа WinSCP и PuTTY, игровая платформа Steam и другие. Собранные данные упаковываются в архив для последующей отправки злоумышленникам.

Для обеспечения устойчивости (persistence) в системе атака включает установку вредоносного расширения для браузера под названием "Google Drive Caching". Это расширение обладает широким набором функций для шпионажа. Оно может собирать детали об оборудовании, полностью выгружать cookies и историю браузера, осуществлять перехват буфера обмена с подменой криптовалютных адресов и вести кейлоггинг (keylogging).

Исследователи также обнаружили сложный алгоритм генерации доменных имён (DGA), который позволяет вредоносному расширению динамически вычислять резервные адреса для связи с командным сервером в случае блокировки основного домена. Это значительно усложняет блокировку угрозы на сетевом уровне. Расширение также поддерживает функции удалённого управления, позволяя злоумышленникам по команде делать скриншоты, читать локальные файлы, открывать произвольные URL-адреса или даже запускать атаки "человек посередине" (man-in-the-middle).

Примечательной особенностью является региональная избирательность атаки. Вредоносный скрипт проверяет язык системы и прекращает работу, если он соответствует ряду стран бывшего СССР и Ирана. Это может указывать на целенаправленный характер угрозы или попытку злоумышленников избежать внимания исследователей и правоохранительных органов из этих регионов.

Данный инцидент наглядно демонстрирует растущую изощрённость атак на цепочки поставок. Злоумышленники атакуют не конкретные организации, а доверенное программное обеспечение, используемое тысячами пользователей, что позволяет им достичь широкого масштаба воздействия. Эксперты по безопасности настоятельно рекомендуют организациям, особенно в государственном и корпоративном секторе, проверить системы на наличие признаков компрометации. Ключевыми шагами должны стать обновление или переустановка EmEditor только с проверенного официального источника, анализ журналов на предмет подозрительной сетевой активности и проверка браузеров на наличие несанкционированных расширений.

IPv4 Port Combinations

• 147.45.50.54:443
• 46.28.70.245:443
• 5.101.82.118:443

Domains

• 08qodmaloshm5zrwhww.xyz
• 0xax86xdizce7kg9cpdk.online
• 1a298k7iqspq52l4r9e.space
• 8mfi71rtud8fov5.org
• 973jgnzjgnwupd1nu.space
• afdwtyy38efzk.app
• brt461jnbjvm52mw.biz
• cachingdrive.com
• daj54smzpklt5kjq.space
• emeditorde.com
• emeditorjapan.com
• emeditorjp.com
• emedjp.com
• emedorg.com
• gs9uuz4h0510qhob.io
• z2ctmmm61dm0c3wfic.store

MD5

• 6a4554509ce27efe5c6b8e58431f60d8
• a27731876e769ff19e225700085967bf