Cyberrisiken
Watering-Hole-Angriff über EmEditor-Benutzer
Über ein kompromittiertes EmEditor-Installationsprogramm haben Angreifer mehrstufige Malware verbreitet, die eine Reihe bösartiger Aktionen ausführt. Wir haben den Watering-Hole-Angriff analysiert, dessen Ziel die Kompromittierung der Supply-Chain ist.
Save to Folio
Wichtige Erkenntnisse
- Bei einer Kompromittierung der Supply-Chain wurde der EmEditor missbraucht, ein weltweit von Entwickler-Communities häufig verwendeter Texteditor. Das Installationsprogramm wurde verwendet, um mehrstufige Malware zu verbreiten.
- Die kompromittierte Version des Installationsprogramms kann Anmeldedaten stehlen, Daten exfiltrieren und durch laterale Bewegungen sich weiter festsetzen. Da das bösartige Verhalten erst nach der Installation ausgelöst wird, kann es eine frühzeitige Erkennung umgehen und die Verweildauer verlängern.
- Unternehmen, die Windows-basierte Software von Drittanbietern verwenden, die über öffentliche Download-Kanäle vertrieben wird, sind diesem Risiko ausgesetzt.
- TrendAI Vision One™ erkennt und blockiert die beschriebenen IOCs.
Ende Dezember 2025 veröffentlichte der weitverbreitete und hochgradig erweiterbare Text-, Code- und CSV-Editor EmEditor von Emurasoft eine Sicherheitswarnung, in der darauf hingewiesen wurde, dass die Download-Seite kompromittiert worden war. Das Ziel der Angreifer war es, eine kompromittierte Version des Programms an ahnungslose Benutzer zu verteilen.
EmEditor ist in japanischen Entwicklerkreisen seit langem als empfohlener Windows-basierter Editor anerkannt. Daher hatten die Angreifer vermutlich diese spezifische Benutzergruppe im Visier oder ein bestimmtes Ziel unter den EmEditor-Benutzern, wobei die kompromittierte Download-Seite als Liefermechanismus diente. Auch lässt der Zeitpunkt vermuten, dass die Angreifer die Feiertage zum Jahresende ausgenutzt haben könnten, in denen aufgrund von Personalabbau oder lockeren Routinen die Wahrscheinlichkeit von Sicherheitslücken steigt. Der für diesen Angriff verantwortliche Urheber wurde jedoch noch nicht identifiziert.
Technische Analyse des kompromittierten Installationsprogramms
Eine kompromittierte Version des Installationsprogramms wird von der Website von EmEditor heruntergeladen. Das Paket (eine MSI-Datei) ist so modifiziert, dass es nach der Ausführung einen PowerShell-Befehl ausgibt, um den Code für die erste Stufe abzurufen, der sich unter einer legitim erscheinenden URL (EmEditorjp[.]com) versteckt.
Die Payload der ersten Stufe ruft von zwei ähnlich aussehenden URLs zwei weitere Skripte ab, die die Haupt-Payload bilden. Das PowerShell-Skript wird mithilfe einer Kombination aus String-Manipulationstechniken (z. B. Einfügen, Entfernen, Ersetzen, Teil-String, Trimmen) verschleiert. Nach der Entschlüsselung werden die URLs über die Invoke-WebRequest-Methode (IWR) ausgeführt.
Die zweite Payload fungiert nach entsprechender Entschleierung als wichtigster Mechanismus gegen Security. Sie hat auch andere Funktionen, wie Deaktivieren des PowerShell Event Tracing for Windows (ETW), Diebstahl von Anmeldedaten, Prozesserkennung (Identifizierung der im System installierten Sicherheitssoftware), Anti-Virtualisierung sowie Erstellen von Screenshots.
Die andere Payload wiederum ist für eine Reihe anderer Funktionen zuständig, etwa System-Fingerprinting, Geofencing, Command-and-Control (C&C)-Berichterstattung und Datenexfiltration sowie Registry-Prüfung (für Sicherheitsanwendungen).
Aufgrund des Geofencing-Verhaltens gehen wir davon aus, dass die Angreifer wahrscheinlich aus Russland oder der Gemeinschaft Unabhängiger Staaten (GUS) stammen. Dies entspricht einem häufigen Muster, bei dem Gruppen „befreundete“ Länder ausschließen, um rechtliche und operative Risiken zu verringern. Hier sind es Armenien, Weißrussland, Georgien, Kasachstan und Kirgisistan. Die Malware sendet alle gesammelten Informationen an ihren C&C-Server. Alle weiteren technischen Details liefert der Originalbeitrag.
Bis jetzt gibt es bereits einige dokumentierte Fälle, in denen EmEditor-Benutzer auf die URL zugegriffen haben.
Sicherheitsempfehlungen gegen Angriffe auf die Supply-Chain
Dieser Vorfall stellt die seit langem bestehende Annahme in Frage, dass vertrauenswürdige Software bei der Triage als weniger wichtig behandelt werden kann und dass Installationen – selbst von offiziellen Anbietern – von Natur aus weniger riskant sind. Die folgenden Best Practices können Unternehmen in ihrer Fähigkeit zur Erkennung und Eindämmung dieser Art von Bedrohungen stärken:
- Überprüfen Sie die Integrität des Installationsprogramms. Dazu gehören digitale Signaturen, Durchführung von Dateiintegritätsprüfungen vor der Ausführung. Vergleichen Sie nach Möglichkeit mit einer vertrauenswürdigen Referenz, um Manipulationen oder unbefugte Änderungen zu erkennen.
- Reglementieren Sie die Verwendung von PowerShell. Wenden Sie Kontrollen für die Ausführung von PowerShell an und aktivieren Sie eine robuste Protokollierung. Überwachen Sie verschleierte Skripte und netzwerkfähige Befehle, die häufig für das Abrufen und Bereitstellen von Payloads missbraucht werden.
- Erhalten Sie die Telemetrie und Sichtbarkeit der Endpunkte aufrecht. Überwachen Sie aktiv Versuche, Protokollierungsmechanismen zu deaktivieren oder zu stören. Der Schutz der Telemetrie trägt dazu bei, die Erkennungsreichweite aufrechtzuerhalten, wenn Angreifer versuchen, mit eingeschränkter Sichtbarkeit zu operieren.
- Wenden Sie das Prinzip der geringsten Privilegien auf Anmeldedaten und Netzwerke an. Schränken Sie den Zugriff der Prozesse und Konten auf den Speicher für Anmeldedaten ein, und legen Sie fest, wo privilegierte Anmeldedaten verwendet werden dürfen. Überwachen Sie die Authentifizierungsaktivitäten auf Anomalien und versuchte laterale Bewegungen.
Für Entwickler und Softwarehersteller zeigt diese Art von Angriff, dass der Schutz der Softwareentwicklung und -bereitstellung genauso wichtig ist wie die Sicherung der Anwendung selbst:
- Sichern Sie die Download- und Hosting-Infrastruktur. Wenden Sie strenge Zugriffskontrollen und Überwachungsmaßnahmen auf Download-Server und Backend-Speicher an. Überwachen Sie unerwartete Dateiänderungen, Umleitungen oder Modifikationen, die auf Manipulationen an verteilten Installationsprogrammen hindeuten könnten.
- Veröffentlichen Sie überprüfbare Integritätsinformationen. Stellen Sie Informationen zur Dateiintegrität bereit und legen Sie die Überprüfungsschritte offen dar, damit Benutzer die Authentizität des Installationsprogramms vor der Ausführung überprüfen können.
- Erstellen Sie einen Plan für Incident Response. Definieren Sie Verfahren für die Reaktion auf mögliche Kompromittierungen der Supply-Chain, einschließlich der Entfernung betroffener Installationsprogramme, der Sperrung von Zertifikaten, der Benachrichtigung der Benutzer und der Koordination mit Sicherheitsanbietern.
Die KI-basierte Cybersicherheitsplattform TrendAI Vision One zentralisiert das Risikomanagement, die Sicherheitsaktivitäten und bietet einen soliden mehrschichtigen Schutz.