日本で特に開発者に好まれている人気のWindows向けテキストエディタ「EmEditor」のユーザーを狙った、高度なウォータリングホール攻撃が確認された。
2025年12月下旬、攻撃者はEmEditorのダウンロードページを侵害し、改ざんされたMSIインストーラを配布した。
このサプライチェーン攻撃により、認証情報を窃取し、データを流出させ、ラテラルムーブメントを可能にする、PowerShellベースの多段階スティーラーマルウェアが配信される。
このマルウェアは検知を回避するため、インストール後に悪意ある動作を遅延させ、長期間の潜伏を可能にしている。
米国拠点のEmurasoftが開発するEmEditorは、ユーザーに警告するセキュリティアドバイザリをサイト上で公開した。この攻撃は、警戒が緩みやすい年末年始の休暇期間を悪用した可能性が高い。
脅威アクターは特定されていないものの、マルウェアのジオフェンシングによりロシア、アルメニア、ベラルーシ、ジョージア、カザフスタン、キルギスなどCIS諸国が除外されており、リスク最小化を狙ったロシアまたはCIS圏由来であることを示唆している。
侵害されたMSIインストーラは、正当性を装うhxxps://EmEditorjp[.]comから第1段階のコードを取得するPowerShellコマンドを起動する。
この段階では、文字列操作(Insert、Remove、Replace、Substring、Trim)によって難読化を解除し、Invoke-WebRequestを用いて2つのペイロードを呼び出す:
「2daef8cd」という文字列が一貫して現れ、おそらくキャンペーンIDとみられる。データはhxxps://cachingdrive[.]com/gate/init/2daef8cdへ送信される。難読化やETW無効化などの解析妨害手法が、エンドポイント検知の回避に役立っている。
組織は、公開ダウンロード経由のサードパーティWindowsソフトウェアからリスクに直面している。CISOは、信頼されたインストーラや開発者ツールを厳格に監視しなければならない。
実行前に、デジタル署名とハッシュでMSIの整合性を検証すること。
テイクダウン、通知、ベンダー連携を含むインシデント対応計画を維持すること。この攻撃は公式インストーラへの信頼を打ち砕き、サプライチェーン脅威に対する能動的な防御を促している。
翻訳元: https://cyberpress.org/emeditor-watering-hole-stealer-attack/