EmEditorは、人気のテキストエディタです。
いろいろな国や地域で利用されています。
特に高速・軽量な動作と、巨大なCSVファイルやテキストファイルを開ける安定性から、プロの開発者、Web担当者、データ解析担当者など、ビジネスの現場でプロフェッショナル向けツールとして愛用されています。
日本でもWindows環境で人気の高いエディタで、シェアも高い状態を長い期間維持しています。
このEmEditorのまわりでマルウェアの配布が起こってしまっていることが確認されました。
- EmEditor日本語ダウンロードサイト
マルウェアの配布が確認されたのは、EmEditor日本語ダウンロードサイトでした。
侵害されたダウンロードサイトで配布されていたのは、改変されたMSI(Microsoft Installer、実行したらMSIの作成者が指定した機構が実行されるので、いろんな意味で使いやすいです)でした。 - MSIから第一段階ペイロード
実行されたMSIはEmEditorの正規サイトから次の段階として動作する第一段階ペイロードを入手します。 - 第一段階ペイロードからメインペイロード
第一段階ペイロードは2つの似たURLからスクリプトを取得します。
これらがメインペイロードとして使用されます。
スクリプトはPowerShellとして作られていて、本来このPowerShellのスクリプトは人がそのまま読むことができるものなのですが、文字列操作技術(挿入、削除、置換、部分文字列、トリムなど)を組み合わせて難読化されています。
この脅威活動で使用されるいくつものツール類が同じように難読化が実施されています。 - 高機能なマルウェア
活動を開始するマルウェアには、多くの機能が実装されています。
PowerShellイベントトレーシングの無効化、資格情報の盗難、プロセス検出(システムにインストールされているセキュリティソフトウェアを識別)、仮想化対策、スクリーンショットの取得、などです。
そしてさらに、システムフィンガープリンティング、ジオフェンシング、コマンドアンドコントロールへの接続とデータ流出、レジストリチェック機構(セキュリティアプリケーション検出用)といった機能を搭載したペイロードも一緒に使用されます。 - 遅延動作
このマルウェアによる悪意ある動作は、マルウェアの入手のタイミングではすぐには実行されず、インストールが終わってから実施されます。
これにより、ダウンロードのタイミングでのセキュリティ製品の防御機構による安全化が難しくなっています。
アプリケーションを入手する際、通常の利用者が意識できることの代表的なものの一つは、公式のサイトを利用するということです。
厳しいことですが、今回はこの対策だけでは対応できない脅威の事例でした。
ダウンロードサイトで入手できるファイルのHASH情報が提供されている場合にはその照合もできるだけ実施したいですね。
こうすれば守れる、という銀の弾丸の実現は難しそうです。
実施できる様々な安全策を取り入れ、組織全体で安全に向かって進んでいくことが必要に思えます。
Watering Hole Attack Targets EmEditor Users with Information-Stealing Malware
https://www.trendmicro.com/en_us/research/26/a/watering-hole-attack-targets-emeditor-users.html
| この記事をシェア |
|
|---|
