Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Атака на цепочку поставок EmEditor: поддельные домены и заражённые установщики

1
3 мин
Кратко: недавняя атака на распространение редактора EmEditor показала, как злоумышленники используют сочетание подготовительных действий и легитимных механизмов доставки ПО, чтобы распространить бэкдор через поддельные инсталляторы. Инцидент раскрывает сложности анализа составных установочных файлов и подчёркивает важность упреждающего мониторинга доменов бренда. Атака состояла из двух основных этапов: подготовительного этапа с регистрацией похожих доменов и последующей подмены легитимных загрузок на бэкдорные установщики. Злоумышленники заранее зарегистрировали домены управления (C2), после чего перенаправили ссылку «Загрузить сейчас» на модифицированный установщик. «Атака проходила в два основных этапа, ознаменованных стратегическими подготовительными действиями и последующим использованием законного механизма распространения.» Ключевые моменты временной шкалы: Исследование вредоносного установщика в формате MSI выявило существенные трудности при выявлении модифицированных компоненто
Оглавление

Кратко: недавняя атака на распространение редактора EmEditor показала, как злоумышленники используют сочетание подготовительных действий и легитимных механизмов доставки ПО, чтобы распространить бэкдор через поддельные инсталляторы. Инцидент раскрывает сложности анализа составных установочных файлов и подчёркивает важность упреждающего мониторинга доменов бренда.

Суть атаки

Атака состояла из двух основных этапов: подготовительного этапа с регистрацией похожих доменов и последующей подмены легитимных загрузок на бэкдорные установщики. Злоумышленники заранее зарегистрировали домены управления (C2), после чего перенаправили ссылку «Загрузить сейчас» на модифицированный установщик.

«Атака проходила в два основных этапа, ознаменованных стратегическими подготовительными действиями и последующим использованием законного механизма распространения.»

Ключевые моменты временной шкалы:

  • 19 декабря — первая подмена: кнопка «Загрузить сейчас» перенаправляла на бэкдорный установщик вместо подлинной версии.
  • 29 декабря — повторная активность: злоумышленники нацелились на новую версию ПО, вновь используя недавно зарегистрированные домены и подписанные установщики для введения пользователей в заблуждение.

Анализ установщика и технические сложности

Исследование вредоносного установщика в формате MSI выявило существенные трудности при выявлении модифицированных компонентов. MSI как тип составного файла хранит данные в структурированном виде, что требует специализированных методов анализа для определения точек внесённых изменений.

Это подчёркивает две проблемы:

  • Сложность обнаружения модификаций в составе MSI без глубокого состава- или бинарного анализа.
  • Риск того, что подписанные установщики будут восприниматься как легитимные инструментами защиты и пользователями.

Инфраструктура злоумышленников

Анализ инфраструктуры показал, что атакующие использовали сервер C2 по адресу 46.28.70.245, связанный с доменом emeditorde.com. Запрос GET к этому домену возвращал HTTP-код состояния 301 (Moved Permanently) с перенаправлением на загрузку PowerShell stager, что указывает на целенаправленный механизм вовлечения жертв в выполнение вредоносного кода.

Рекомендации по защите и упреждающим мерам

На основе анализа инцидента эксперты предлагают ряд практических мер, которые помогут снизить риск успешных атак цепочки поставок:

  • Мониторинг брендов и доменов: внедрять постоянный мониторинг похожих доменов и возможных typo-squatted доменов для раннего обнаружения подготовки инфраструктуры атаки.
  • Предопределённые сценарии реагирования: создать и отработать playbooks для быстрого реагирования на подозрительные регистрации доменов, включая блокировку, уведомление регистраторов и расследование.
  • DNS-мониторинг и анализ трафика: отслеживать аномалии в DNS-запросах и перенаправлениях, особенно имеющие признаки постоянного перемещения (HTTP 301) на ресурсы, доставляющие скрипты/стейджеры.
  • Анализ установщиков: внедрять процедуры глубокого анализа составных установочных файлов (MSI) и проверять подписи установщиков, а также поведение инсталляторов в изолированных средах.
  • Внутренний мониторинг и разведка: интегрировать данные о регистрации доменов в рамках Threat Intelligence, включая отслеживание подозрительных регистраций и проверку инфраструктур, связанных с брендом.

Вывод

Инцидент с EmEditor служит напоминанием: злоумышленники всё активнее используют комбинированные подходы — регистрация похожих доменов, использование подписанных установщиков и перенаправления через легитимные механизмы — чтобы обойти защиту и внедриться в цепочку поставок. Эффективная оборона требует не только реагирования на уже произошедшие события, но и упреждающего мониторинга доменов, отработанных процедур реагирования и детального анализа установочных пакетов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Атака на цепочку поставок EmEditor: поддельные домены и заражённые установщики".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются