СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
31.12.2025
#ИБ

Атака по цепочке поставок EmEditor: заражённые MSI с PowerShell

23 декабря 2025 года было раскрыто масштабное нарушение целостности цепочки поставок: установочные пакеты MSI текстового редактора EmEditor, размещённые на официальном сайте разработчика, были заменены на вредоносные версии в период с 19 по 22 декабря. Поддельные пакеты оказались подписаны неофициальной подписью, связанной с «WALSHAM INVESTMENTS LIMITED».

Краткая суть инцидента

  • Временной интервал компрометации: 19–22 декабря 2025.
  • Дата раскрытия: 23 декабря 2025.
  • Целевой продукт: EmEditor — официальные MSI-пакеты были заменены.
  • Подпись вредоносных пакетов связана с «WALSHAM INVESTMENTS LIMITED».
  • Основные пострадавшие: государственные структуры и предприятия.

Техническая картина атаки

Анализ скомпрометированных установочных пакетов показал наличие встроенного скрипта, который запускает команды PowerShell. Эта возможность указывает на намерение злоумышленников получить расширенный контроль над скомпрометированными средами и выполнить дополнительные вредоносные действия после установки.

Ключевой элемент кампании — установка расширения для браузера под названием «Google Drive Caching» (в отчёте описано как «полнофункциональное вредоносное ПО для кражи информации»). Механизм работы злоумышленников сочетал:

  • инициализацию через изменённый установщик MSI;
  • выполнение команд через PowerShell для доставки и управления дальнейшими компонентами;
  • закрепление посредством вредоносного browser extension, обеспечивающего стойкость и непрерывную эксфильтрацию данных.

«Расширение характеризуется как полнофункциональное вредоносное ПО для кражи информации»

Почему это опасно

  • Атаки по цепочке поставок позволяют компрометировать большое число пользователей через доверенный канал обновлений/установки.
  • Использование PowerShell даёт злоумышленникам гибкие средства управления и маскировки действий на целевых системах.
  • Вредоносное расширение браузера обеспечивает длительную устойчивость присутствия в среде жертвы и постоянную эксфильтрацию конфиденциальных данных.
  • Пострадавшими оказались государственные и корпоративные организации — это повышает риск утечек критичной информации.

Рекомендации для ИТ‑администраторов и пользователей

  • Немедленно проверить контрольные суммы и подписи установленных экземпляров EmEditor, особенно установленные или обновлённые в период 19–22 декабря 2025.
  • Если обнаружены скомпрометированные пакеты — удалить их, выполнить чистую установку из официального и проверенного источника после подтверждения подлинности.
  • Проверить браузеры на наличие расширения «Google Drive Caching» и удалить любые неизвестные или подозрительные расширения.
  • Проанализировать журналы PowerShell и системы обнаружения угроз (EDR) на предмет выполнения необычных скриптов или команд в указанный период.
  • Провести аудит учетных записей и смену учётных данных/ключей, если есть подозрение на утечку; рассмотреть двухфакторную аутентификацию в приоритетном порядке.
  • Запустить полное сканирование антивирусными и EDR-инструментами, при необходимости — обратиться к поставщикам безопасности за помощью в инцидент-реcпонсе.
  • Сообщить о инциденте соответствующим регуляторам и партнёрам, особенно если организация обрабатывает критичные или персональные данные.

Вывод

Инцидент с подменой установочных пакетов EmEditor демонстрирует классическую и опасную схему атаки по цепочке поставок: использование доверенного канала распространения ПО для внедрения исполняемых вредоносных компонентов, последующее использование PowerShell для управления и установка зловредного расширения браузера для долгосрочной эксфильтрации данных. Это служит напоминанием о необходимости строгих процедур проверки целостности ПО, мониторинга поведения конечных точек и быстрого реагирования на подозрительные изменения в инфраструктуре.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: