TechFlowからの報道によると、4月15日、Elastic Security Labsが明らかにしたところでは、脅威行為者がベンチャーキャピタル企業を装い、LinkedInおよびTelegramを通じて標的を誘導し、悪意あるコードを含むObsidianノートブックを起動させようとしている。今回の攻撃は、Obsidianの「Shell Commands」プラグインを悪用したもので、被害者がノートブックを開く際に脆弱性を活用することなく、悪意あるペイロードを実行可能としている。
本攻撃で確認された「PHANTOMPULSE」は、これまで記録されていなかったWindows向けリモートアクセストロイアント(RAT)であり、イーサリアムのトランザクションデータを用いてブロックチェーンベースのC2(Command and Control)通信を実現している。macOS向けペイロードは、難読化されたAppleScriptによる配信ツールを採用しており、代替C2としてTelegramチャンネルが利用されている。Elastic Defendは、PHANTOMPULSEの実行前にこれを検知・阻止した。
お気に入りに追加
SNSで共有
