深潮 TechFlow 消息,04 月 15 日,據 Elastic Security Labs 披露,威脅行為者冒充風險投資公司,通過 LinkedIn 和 Telegram 引誘目標打開攜帶惡意代碼的 Obsidian 筆記庫。此次攻擊利用 Obsidian 的 Shell Commands 插件,在受害者打開筆記庫時無需利用漏洞即可執行惡意載荷。
攻擊中發現的 PHANTOMPULSE 是一種此前未被記錄的 Windows 遠程訪問木馬(RAT),其通過以太坊交易數據實現區塊鏈 C2 通信。macOS 端載荷則採用混淆的 AppleScript 投遞器,並以 Telegram 頻道作為備用 C2。Elastic Defend 在 PHANTOMPULSE 執行前及時檢測並阻止了該攻擊。
添加收藏
分享社交媒體
