Январское разоблачение не помогло. Атака на цепочку поставок EmEditor переросла в долгоиграющий триллер
NewsMakerПока аналитики писали отчёты, противник просто сменил тактику.
Специалисты Stormshield продолжили разбор цепочки компрометации , связанной с атакой на цепочку поставок текстового редактора EmEditor, и выявили дополнительные технические детали инфраструктуры злоумышленников. Поводом для углублённого анализа стала январская публикация Trend Micro о редкой схеме Watering Hole, нацеленной на пользователей этого продукта.
Команда изучила опубликованные ранее индикаторы и начала отслеживать связанные домены и адреса. В начале февраля зафиксированы изменения в части IP для нескольких подозрительных узлов. Обнаружена группа доменных имён , маскирующихся под официальные ресурсы EmEditor. Все они используют зону .com, зарегистрированы в конце декабря 2025 года через одного регистратора и указывают на одинаковые DNS-серверы. Названия строятся по схожему шаблону и начинаются с фрагмента «emed», что указывает на попытку визуально имитировать легитимный бренд.
При анализе пассивных DNS-записей выявлены дополнительные совпадения по адресам. Часть доменов меняла IP, часть оставалась прежней. Это говорит о постепенной перестройке инфраструктуры без её полного сворачивания. Дополнительная проверка сетевых ответов показала нетипичную конфигурацию HTTP-заголовков у одного из узлов. Некоторые поля в ответе сервера дублировались, что стало отправной точкой для дальнейшего поиска связанных ресурсов.
Через сервис анализа интернет-инфраструктуры удалось найти другие домены с таким же цифровым отпечатком заголовков. Несколько из них вели на один и тот же IP и использовали похожие URL-шаблоны с путями вида /gate/start/. Несмотря на минимальный сетевой ответ, совпадения позволили связать их с той же активностью.
Отдельное направление поиска привело к ещё одному домену, зарегистрированному в октябре 2025 года. По этому адресу размещался сценарий PowerShell с обфускацией , совпадающей с ранее описанной цепочкой заражения. Внутренняя логика и контрольные суммы кода указывают на ранний этап той же операции. По оценке аналитиков, совпадение достаточно надёжное.
Сводный анализ доменов, IP-адресов и хешей файлов показывает, что кампания не прекратилась после публичного раскрытия и продолжила развиваться. Поэтому постоянный мониторинг, перепроверка индикаторов и многоуровневая защита остаются критически важными условиями устойчивости инфраструктуры .
Специалисты Stormshield продолжили разбор цепочки компрометации , связанной с атакой на цепочку поставок текстового редактора EmEditor, и выявили дополнительные технические детали инфраструктуры злоумышленников. Поводом для углублённого анализа стала январская публикация Trend Micro о редкой схеме Watering Hole, нацеленной на пользователей этого продукта.
Команда изучила опубликованные ранее индикаторы и начала отслеживать связанные домены и адреса. В начале февраля зафиксированы изменения в части IP для нескольких подозрительных узлов. Обнаружена группа доменных имён , маскирующихся под официальные ресурсы EmEditor. Все они используют зону .com, зарегистрированы в конце декабря 2025 года через одного регистратора и указывают на одинаковые DNS-серверы. Названия строятся по схожему шаблону и начинаются с фрагмента «emed», что указывает на попытку визуально имитировать легитимный бренд.
При анализе пассивных DNS-записей выявлены дополнительные совпадения по адресам. Часть доменов меняла IP, часть оставалась прежней. Это говорит о постепенной перестройке инфраструктуры без её полного сворачивания. Дополнительная проверка сетевых ответов показала нетипичную конфигурацию HTTP-заголовков у одного из узлов. Некоторые поля в ответе сервера дублировались, что стало отправной точкой для дальнейшего поиска связанных ресурсов.
Через сервис анализа интернет-инфраструктуры удалось найти другие домены с таким же цифровым отпечатком заголовков. Несколько из них вели на один и тот же IP и использовали похожие URL-шаблоны с путями вида /gate/start/. Несмотря на минимальный сетевой ответ, совпадения позволили связать их с той же активностью.
Отдельное направление поиска привело к ещё одному домену, зарегистрированному в октябре 2025 года. По этому адресу размещался сценарий PowerShell с обфускацией , совпадающей с ранее описанной цепочкой заражения. Внутренняя логика и контрольные суммы кода указывают на ранний этап той же операции. По оценке аналитиков, совпадение достаточно надёжное.
Сводный анализ доменов, IP-адресов и хешей файлов показывает, что кампания не прекратилась после публичного раскрытия и продолжила развиваться. Поэтому постоянный мониторинг, перепроверка индикаторов и многоуровневая защита остаются критически важными условиями устойчивости инфраструктуры .