Компрометация EmEditor: новая угроза цепочке поставок ПО для разработчиков

EmEditor, разрабатываемый американской компанией Emurasoft, пользуется особой популярностью среди разработчиков в Японии как рекомендуемый редактор для Windows. Это указывает на возможную целенаправленность атаки на данную профессиональную аудиторию. Атака была спланирована на период новогодних праздников, когда сниженная активность персонала могла увеличить вероятность успешного внедрения.

Технический анализ показал, что скомпрометированный установщик в формате MSI был изменен. При его запуске исполнялся PowerShell-скрипт, который загружал первую стадию вредоносной нагрузки с поддельного домена, имитирующего официальный сайт. Код на всех этапах активно обфусцировался с помощью методов манипуляции строками для затруднения анализа.

Первая стадия отвечала за загрузку двух основных скриптов с разных URL. Первый полезный груз (payload) был ориентирован на противодействие системам безопасности. В частности, он отключал трассировку событий Windows для PowerShell, что серьезно затрудняет обнаружение. Дополнительно этот модуль занимался кражей учетных данных из диспетчера учетных данных Windows, детектировал установленное антивирусное ПО, проверял, не запущена ли система в виртуальной среде, и делал скриншоты экрана.

Второй модуль выполнял иные функции: сбор детальной информации о системе, проверку геолокации жертвы и связь с командным сервером. Особый интерес представляет функция геофильтрации. Вредоносная программа не активировалась на системах, расположенных в Армении, Беларуси, Грузии, Казахстане и Кыргызстане. Эта тактика, характерная для групп, связанных с Россией или странами СНГ, позволяет злоумышленникам снижать операционные и юридические риски, избегая атак на "дружественные" регионы.

Все собранные данные, включая отпечаток системы и украденные учетные данные, передавались на командный сервер. Во всех коммуникациях использовался уникальный идентификатор "2daef8cd", что может указывать на идентификатор конкретной кампании. По данным исследователей, некоторые экземпляры вредоносного URL уже были посещены пользователями, что говорит о вероятных успешных компрометациях до публикации официального предупреждения.

Данный инцидент ставит под сомнение устоявшееся представление о том, что установка ПО с официальных сайтов является безопасной по умолчанию. Чтобы противостоять подобным угрозам, специалистам по безопасности рекомендуется внедрять ряд практик. Критически важно проверять цифровые подписи и целостность установочных файлов даже при загрузке с официальных ресурсов. Необходимо усилить контроль над использованием PowerShell, включив детальное логирование и мониторинг обфусцированных скриптов.

Кроме того, следует защищать данные телеметрии с конечных точек от отключения и строго применять принцип наименьших привилегий для доступа к учетным данным и сетевым ресурсам. Для разработчиков ПО этот случай служит напоминанием о необходимости защиты инфраструктуры распространения. Ключевые меры включают строгий контроль доступа к серверам загрузки, публикацию проверяемой информации о целостности файлов и наличие четкого плана реагирования на инциденты.

Платформа Trend Vision One™ уже детектирует и блокирует индикаторы компрометации, связанные с этой атакой. Клиенты компании имеют доступ к специализированным поисковым запросам, анализу угроз и отчетам для проактивной защиты. Этот инцидент наглядно демонстрирует, что безопасность процесса доставки ПО пользователю стала таким же критически важным звеном, как и защита самого приложения.

Domains

• EmEditorjp.com

URLs

• EmEditorde.com/gate/start/2daef8cd
• EmEditorgb.com/run/mg8heP0r
• https://cachingdrive.com/gate/init/2daef8cd

SHA1

• 65b0853abb656c6cc342d87b872fbe21482e9bae
• 81e1ccbd3b4ed5a7593cfba21315c65ad4635f73
• 826af8619430e7363e9eb3b2395b36cf6365b7bd
• 938325004e44ab1a65e948b4d07b05229309f630
• a3ab5e58a9330dd673dec17777e5110bf3c9eba3
• e5678fd66ac09205f55dc4fae9601185a76b2f50
• ff78a86746bdcc6ed1390ff291a6c599e96e8487