СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:28
#ИБ

Атака на цепочку поставок EmEditor: поддельные домены и заражённые установщики

Кратко: недавняя атака на распространение редактора EmEditor показала, как злоумышленники используют сочетание подготовительных действий и легитимных механизмов доставки ПО, чтобы распространить бэкдор через поддельные инсталляторы. Инцидент раскрывает сложности анализа составных установочных файлов и подчёркивает важность упреждающего мониторинга доменов бренда.

Суть атаки

Атака состояла из двух основных этапов: подготовительного этапа с регистрацией похожих доменов и последующей подмены легитимных загрузок на бэкдорные установщики. Злоумышленники заранее зарегистрировали домены управления (C2), после чего перенаправили ссылку «Загрузить сейчас» на модифицированный установщик.

«Атака проходила в два основных этапа, ознаменованных стратегическими подготовительными действиями и последующим использованием законного механизма распространения.»

Ключевые моменты временной шкалы:

  • 19 декабря — первая подмена: кнопка «Загрузить сейчас» перенаправляла на бэкдорный установщик вместо подлинной версии.
  • 29 декабря — повторная активность: злоумышленники нацелились на новую версию ПО, вновь используя недавно зарегистрированные домены и подписанные установщики для введения пользователей в заблуждение.

Анализ установщика и технические сложности

Исследование вредоносного установщика в формате MSI выявило существенные трудности при выявлении модифицированных компонентов. MSI как тип составного файла хранит данные в структурированном виде, что требует специализированных методов анализа для определения точек внесённых изменений.

Это подчёркивает две проблемы:

  • Сложность обнаружения модификаций в составе MSI без глубокого состава- или бинарного анализа.
  • Риск того, что подписанные установщики будут восприниматься как легитимные инструментами защиты и пользователями.

Инфраструктура злоумышленников

Анализ инфраструктуры показал, что атакующие использовали сервер C2 по адресу 46.28.70.245, связанный с доменом emeditorde.com. Запрос GET к этому домену возвращал HTTP-код состояния 301 (Moved Permanently) с перенаправлением на загрузку PowerShell stager, что указывает на целенаправленный механизм вовлечения жертв в выполнение вредоносного кода.

Рекомендации по защите и упреждающим мерам

На основе анализа инцидента эксперты предлагают ряд практических мер, которые помогут снизить риск успешных атак цепочки поставок:

  • Мониторинг брендов и доменов: внедрять постоянный мониторинг похожих доменов и возможных typo-squatted доменов для раннего обнаружения подготовки инфраструктуры атаки.
  • Предопределённые сценарии реагирования: создать и отработать playbooks для быстрого реагирования на подозрительные регистрации доменов, включая блокировку, уведомление регистраторов и расследование.
  • DNS-мониторинг и анализ трафика: отслеживать аномалии в DNS-запросах и перенаправлениях, особенно имеющие признаки постоянного перемещения (HTTP 301) на ресурсы, доставляющие скрипты/стейджеры.
  • Анализ установщиков: внедрять процедуры глубокого анализа составных установочных файлов (MSI) и проверять подписи установщиков, а также поведение инсталляторов в изолированных средах.
  • Внутренний мониторинг и разведка: интегрировать данные о регистрации доменов в рамках Threat Intelligence, включая отслеживание подозрительных регистраций и проверку инфраструктур, связанных с брендом.

Вывод

Инцидент с EmEditor служит напоминанием: злоумышленники всё активнее используют комбинированные подходы — регистрация похожих доменов, использование подписанных установщиков и перенаправления через легитимные механизмы — чтобы обойти защиту и внедриться в цепочку поставок. Эффективная оборона требует не только реагирования на уже произошедшие события, но и упреждающего мониторинга доменов, отработанных процедур реагирования и детального анализа установочных пакетов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: