Obsidian 플러그인 악용한 원격접속 트로이목마 공격
원제: Obsidian plugin was abused to deploy a remote access trojan
왜 중요한가
블록체인을 악용한 새로운 C2 통신 방식으로 기존 보안 솔루션의 한계를 드러내며 노트앱 플러그인 생태계 보안 강화 필요성을 시사한다.
사이버보안 연구진이 Obsidian 노트 앱의 커뮤니티 플러그인을 악용해 PHANTOMPULSE RAT를 배포하는 소셜엔지니어링 공격을 발견했다고 발표했다. 공격자들은 LinkedIn과 Telegram을 통해 금융·암호화폐 업계 종사자들을 표적으로 삼아 악성 공유 볼트로 유인한다.
보안업체 CyberNetSec.io는 REF6598로 명명된 고도화된 사이버공격 캠페인을 공개했다. 공격자들은 벤처캐피털리스트로 위장해 LinkedIn에서 타겟과 관계를 형성한 후 Telegram으로 유인하여 Obsidian 공유 볼트 협업을 제안한다. 피해자가 공유 볼트를 열고 '커뮤니티 플러그인 설치' 기능을 활성화하면 악성 'Shell Commands'와 'Hider' 플러그인이 실행된다. Windows에서는 PowerShell 스크립트가, macOS에서는 AppleScript가 PHANTOMPULL 로더를 실행하여 최종적으로 PHANTOMPULSE RAT를 메모리에 직접 배포한다. 이 악성코드는 이더리움 블록체인을 활용해 명령제어 서버 주소를 동적으로 확인하는 혁신적인 방식을 사용한다. 공격자 지갑의 최신 거래 데이터에 C2 서버 IP를 숨겨 탐지와 차단을 회피한다. PHANTOMPULSE는 키로거, 스크린샷, 파일 탈취, 원격 명령 실행 등 다양한 기능을 보유하고 있다.