ハッカーがObsidianのShellコマンドプラグインと共有クラウドボルトを悪用して、PHANTOMPULSEリモートアクセストロイの木で終わる新しいクロスプラットフォームマルウェアチェーンを配信しています。
攻撃者は金融および暗号資産専門家を対象とするベンチャーキャピタル企業になりすまし、最初はLinkedInで接触してから、複数の偽の「パートナー」とのTelegramグループチャットに会話を移して信頼性を構築します。
被害者はObsidianを企業の「管理データベース」として使用するよう求められます。攻撃者が管理するクラウドボルトの認証情報が与えられ、共有ダッシュボードとして提示されます。
ボルトが開かれると、攻撃者はターゲットにObsidianのコミュニティプラグイン同期を有効にするよう指示します。これはデフォルトではオフになっており、デバイス間で自動的に伝播されない設定です。
Elastic Security Labsは、人気のあるメモアプリケーションObsidianを初期アクセスベクトルとして悪用する新しいソーシャルエンジニアリングキャンペーンを特定しました。
有効にされると、ShellコマンドプラグインとUI要素を隠して疑いを減らすHiderプラグインの悪意のある設定が被害者の環境に同期され、次のトリガーで追加のユーザー操作なしに実行されます。
Obsidianプラグインの悪用
Elasticのテレメトリーは最初に正当なObsidianバイナリから直接生成された疑わしいPowerShellにフラグを付け、単純なトロイの木化された実行可能ファイルを除外し、代わりにプラグイン駆動の攻撃対象領域を指摘しました。
同期されたボルトの.obsidianディレクトリの分析により、ボルトオープンやアプリ起動などのイベントで任意のプラットフォーム固有のコマンドを実行できるように構成されたShellコマンドプラグインが明らかになりました。
PHANTOMPULSEはAIの支援が大きい機能豊富なWindows RATで、非常に詳細でステップにラベルが付いたデバッグ文字列と、Cloudflareで保護されたポーランド「ファントムパネル」Webインターフェースを備えています。
REF6598ケースでは、WindowsコマンドチェーンはBase64エンコードされたPowerShellを使用して、195.3.222[.]251から第2段階スクリプトをダウンロードし、次にsyncobs.exe(PHANTOMPULL)というローダーバイナリをフェッチして、詳細な実行ステータスを同じC2に報告しました。
このアプローチは、コアペイロードをJSON設定とメモリのみのローダー内に保持し、従来の署名ベースおよびファイル中心の防御をはるかに効果的でなくします。
PHANTOMPULLは64ビットのWindowsローダーで、そのリソースから埋め込まれたAES-256-CBC暗号化されたPEを復号化してリフレクティブに読み込み、その後panel.fefea22134[.]netからHTTPS経由でPHANTOMPULSE RATを取得します。
すべてが、サードパーティコードのない、クリーンで正当なObsidianのインストールのように見えました。その時点で、私たちはObsidianをインストールして、攻撃者がコマンド実行を達成するために悪用できるオプションを探索することにしました。
ランタイムAPIハッシング、偽の「整合性」チェック、デッドコード、およびタイマーキューコールバックを使用して分析を複雑にし、単純なサンドボックスヒューリスティックを回避します。
注目すべきことに、イーサリアム互換のBlockscoutエクスプローラーを経由してライブC2エンドポイントを解決し、ハードコードされたウォレットに関連付けられたオンチェーントランザクション入力データからURLをデコードしますが、送信者の検証に失敗し、ウォレットとXORスキームを知っている防御者が独自のシンクホールトランザクションを公開することでC2解決をハイジャックできるようにします。
macOSチェーンとTelegramベースのフォールバック
macOSでは、ShellコマンドプラグインはBase64エンコードされたAppleScriptをosascriptを経由して実行し、永続的なLaunchAgentをセットアップしてから、大幅に難読化されたAppleScriptドロッパーを実行します。
VM上の同期されたボルトは基本設定ファイル(app.json, appearance.json, core-plugins.json, workspace.json)を受け取りましたが、注目すべきことにplugins/ディレクトリとcommunity-plugins.jsonは完全に不在でした。
ドロッパーは実行時にすべての機密文字列を構築し、多数のデコイ変数を使用して、階層化されたC2検出を実装します。最初にハードコードされたドメインのリスト(0x666[.]infoなど)をプローブし、それらのホストが利用できない場合は、デッドドロップフォールバックとして公開Telegramチャネルをスクレイピングします。
C2が解決されると、macOSスクリプトはサーバーに被害者識別子を投稿し、応答をosascriptに直接パイプして、Windowsローダーパスと精神的に類似したメモリ内マルチステージチェーンを作成します。
分析時、macOS C2インフラストラクチャはオフラインでしたが、デザインは明確にWindows焦点のステルスステージング、柔軟なC2ローテーション、および最小限のディスク上のアーティファクトを反映しています。
Elastic Defendは、Obsidianから生成された異常なPowerShellを検出することでREF6598侵入を初期段階で遮断し、PHANTOMPULSEが観察されたホストに完全に展開されるのを防ぎました。
金融および暗号資産セクターの組織は、Obsidianなどの「信頼できる」生産性ツールを潜在的な実行対象領域として扱い、それらから異常な子プロセスを監視し、共有ボルトとコミュニティプラグイン同期に関する厳密なプラグインポリシーとユーザートレーニングを実施する必要があります。
翻訳元: https://gbhackers.com/hackers-exploit-obsidian-plugin/
