TechFlow 보도에 따르면, 4월 15일 Elastic Security Labs는 위협 행위자가 벤처 캐피털 회사를 사칭해 LinkedIn 및 Telegram을 통해 대상을 유인하고, 악성 코드가 포함된 Obsidian 노트북을 열도록 유도한 공격을 발표했습니다. 이번 공격은 Obsidian의 Shell Commands 플러그인을 악용해 사용자가 노트북을 열기만 하면 별도의 취약점 없이도 악성 페이로드를 실행할 수 있도록 했습니다.
공격에서 발견된 PHANTOMPULSE은 이전에 기록된 바 없는 Windows용 원격 접속 트로이 목마(RAT)로, 이더리움 거래 데이터를 활용해 블록체인 기반 C2(명령 및 제어) 통신을 수행합니다. macOS용 페이로드는 난독화된 AppleScript 배포기로 구성되어 있으며, Telegram 채널을 예비 C2 채널로 사용합니다. Elastic Defend는 PHANTOMPULSE의 실행 전 단계에서 이를 신속히 탐지하고 차단했습니다.
즐겨찾기 추가
소셜 미디어 공유
