人気テキストエディタのEmEditorは、2025年12月19日〜22日にかけて高度なサプライチェーン攻撃の被害に遭い、攻撃者が公式Webサイトを侵害してマルウェア混入のインストールパッケージを配布しました。
ソフトウェア開発元のEmurasoft, Inc.は12月23日、改ざんされたダウンロードリンクを通じて悪意のあるMSIインストーラがユーザーに提供されていたことを確認しました。これらは正規の発行者資格情報ではなく、「WALSHAM INVESTMENTS LIMITED」による偽のデジタル署名を帯びていました。
Qianxin脅威インテリジェンスセンターのRedDrip Teamは特定のインテリジェンス監視システムを通じて本件を検知し、悪意あるペイロードの完全な連鎖を捕捉しました。
EmEditorは中国の開発者、運用担当者、機微なデータを扱う技術専門職の間で大きなユーザーベースを持つことから、セキュリティ研究者は、この攻撃が同地域の政府機関および企業組織に重大なリスクをもたらすと評価しています。
高度な多段階攻撃チェーン
侵害されたMSIインストーラ(emed64_25.4.3.msi)には、システムログを無効化し、データ流出のためのC#クラスを展開するPowerShellコマンドを実行するよう設計された悪意のあるスクリプトが埋め込まれていました。
マルウェアはOSバージョンやユーザー名などのシステム情報を体系的に収集し、盗み出したデータをRSA暗号で暗号化したうえで、コマンド&コントロール(C2)サーバー emeditorgb.com に送信しました。
情報窃取型マルウェアは、デスクトップ、ドキュメント、ダウンロードなど複数の高価値ディレクトリを標的とし、ファイル一覧を収集して「sandbox.txt」および「system.txt」という名前の暗号化アーカイブにまとめました。
このマルウェアは高度な認証情報窃取能力を示し、VPN設定、Windowsログイン資格情報、さらに一般的なアプリケーションからCookie、保存済みパスワード、ユーザー設定を含むブラウザデータを抽出しました。
標的となったソフトウェアには、Zoho Mail、Evernote、Notion、Discord、Slack、Mattermost、Microsoft Teams、Zoomといった企業向けコラボレーション基盤に加え、WinSCPやPuTTYなどのセキュアなファイル転送ツールも含まれていました。
マルウェアはスクリーンショットも取得し、盗み取った全データを「array.bin」というファイルに圧縮して流出させました。注目すべき点として、このマルウェアには地理的制限が組み込まれており、旧ソ連諸国またはイランに関連するシステム言語を検出すると実行を終了しました。
この攻撃で最も懸念される要素は、「Google Drive Caching」を装った永続的なブラウザ拡張機能のインストールでした。
このフル機能の情報窃取型マルウェアは cachingdrive.com と通信し、主要インフラがテイクダウンされた場合でも活動を維持するためのドメイン生成アルゴリズム(DGA)ロジックを組み込んでいました。DGAは、シード値に年と週番号の計算を組み合わせて、週次のフォールバックドメインを生成します。
この拡張機能は、CPU、GPU、メモリ仕様、画面解像度、タイムゾーンデータなど、包括的なシステムメタデータを収集しました。
30種類以上の暗号資産ウォレットアドレス形式に対応するクリップボードハイジャック機能を実装しつつ、完全なブラウザ履歴、Cookie、インストール済み拡張機能、ブックマークを取得しました。
追加機能として、特定のWebページ別に分類されるキーロギング、Facebook広告アカウントの窃取、さらにオペレーターがスクリーンショットの実行、ローカルファイルの読み取り、プロキシ接続の確立、任意のJavaScriptコードの実行を可能にするリモート制御機能が含まれていました。
検知と緩和
QianxinのTianqing「Liuhe」エンジンは、悪意のあるMSIインストーラを検知・ブロックします。同社は、政府および企業顧客に対し、このセキュリティエンジンを展開して脅威に防御することを推奨しています。
Emurasoftは、EmEditor内蔵のUpdate Checkerで更新したユーザー、download.emeditor.infoから直接ダウンロードしたユーザー、またはポータブル版/ストア版を使用しているユーザーは影響を受けないことを確認しました。
正規インストーラにはEmurasoft, Inc.のデジタル署名が付与され、SHA-256ハッシュは e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e です。一方、悪意のある版はファイルサイズが80,380,416バイトで、WALSHAM INVESTMENTS LIMITEDにより署名されています。
組織は、影響の可能性があるシステムを直ちに隔離し、包括的なマルウェアスキャンを実施するとともに、露出した認証情報について多要素認証の有効化を伴うパスワードリセットを実施すべきです。
翻訳元: https://gbhackers.com/emeditor-website/
