Obsidianプラグインが悪用され遠隔アクセス型マルウェア配布
原題: Obsidian plugin was abused to deploy a remote access trojan
なぜ重要か
ブロックチェーン技術を悪用した新手のC2通信手法により、従来の対策では検知困難な高度マルウェアの出現を示している
セキュリティ研究者が、ノート作成アプリObsidianのプラグイン機能を悪用してPHANTOMPULSE RATマルウェアを配布する標的型攻撃REF6598を発見した。金融・暗号通貨業界の専門家をターゲットとし、LinkedInやTelegramでソーシャルエンジニアリングを実施後、共有Obsidianボルトに誘導して感染させる手法。
セキュリティ研究者がObsidianノート作成アプリを悪用した高度な標的型攻撃「REF6598」を特定した。この攻撃では、これまで未確認のPHANTOMPULSE RATマルウェアがWindowsとmacOSユーザーに配布されている。攻撃者はベンチャーキャピタリストを装ってLinkedInで標的に接触し、その後Telegramのプライベートグループでやり取りを継続。最終的に共有Obsidianボルトでの協業を提案して被害者を誘導する。感染は被害者が「インストール済みコミュニティプラグイン」の同期機能を有効化することで始まる。この操作により、共有ボルト内の悪意あるバージョンのShell CommandsプラグインとHiderプラグインが実行される。Windowsでは PowerShellスクリプトがPHANTOMPULLローダーを展開し、macOSでは類似プロセスがAppleScriptで実行される。PHANTOMPULSE RATは特徴的なC2通信手法を使用し、Ethereumブロックチェーン上の特定ウォレットアドレスの最新取引データからC2サーバーのIPアドレスを動的に取得する。これにより分散型で検閲耐性のあるコマンド&コントロール機能を実現している。感染後は、キーストローク記録、スクリーンショット取得、ファイル窃取、任意コマンド実行が可能になる。