新しい攻撃キャンペーンがObsidianのコミュニティプラグインエコシステムを悪用し、信頼されたノートテイキングアプリをクロスプラットフォームマルウェア配信プラットフォームに変えました。
この作戦はソーシャルエンジニアリング、同期されたボルト、および武装化されたシェルコマンドプラグインを使用して、WindowsとmacOS上の異なるマルウェアチェーンをトリガーしました。
セキュリティ研究者によると、キャンペーンは偽のベンチャーキャピタルペルソナから始まり、LinkedInで被害者に接触し、会話をTelegramに移したとのことです。
攻撃者は、被害者をコントロール下にあるObsidianボルトを開くよう誘い、コミュニティプラグイン同期を有効にするよう説得しました。これにより、悪意のあるプラグイン設定が被害者のデバイス上で実行されるようになりました。
Windowsでは、プラグインはステージ化されたPowerShellチェーンをトリガーし、ローダーを取得し、埋め込みペイロードを復号化し、メモリ内で実行しました。
ローダーはAES-256-CBC、タイマーキューコールバック実行、動的API解決、およびリフレクティブロードを使用して、最終的なマルウェアをディスクに書き込まないようにしました。
研究者は最終的なインプラントをPHANTOMPULSEと命名し、インジェクション、スクリーンショット、キーロギング、権限昇格、アンインストール機能を備えた完全機能のRATとして説明しました。
macOSパスは異なるプレイブックを使用しました。シェルコマンドプラグインはBase64エンコードされたコマンドを実行し、難読化されたAppleScriptドロッパーを起動し、永続性のためにLaunchAgentを作成し、階層化されたC2プロセスを通じて次のステージを取得しました。
プライマリサーバが利用できない場合、macOSドロッパーはTelegramベースのデッドドロップにフォールバックしてバックアップドメインを回復できました。
そのデザインは単一ドメインのブロックをあまり効果的にしませんでした。マルウェアは次のコマンドまたはペイロードのために別のソースに切り替えることができたからです。
重要な詳細は、攻撃者がObsidian自体のソフトウェアバグを悪用する必要がなかったということです。
代わりに、彼らは正当な機能を悪用しました。カスタムコマンドを実行することを目的としたコミュニティプラグインと、ユーザー駆動の同期設定が組み合わされ、悪意のある構成が被害者のマシンに表示されるようになりました。
キャンペーンはまた、信頼された署名付きアプリケーションがいかに悪意のあるアクティビティの親プロセスになり得るか、したがって単純なホワイトリストベースの防御を弱める可能性があることを示しました。
この場合、Obsidianの通常の動作の悪用により、コマンド実行が開始されるまで、攻撃は通常のアプリアクティビティのように見えました。
また、.obsidian/plugins/パス下の新しいファイルまたは変更されたファイル、予期しないコミュニティプラグイン同期の変更、および不慣れなドメインまたはブロックチェーン関連の解決サービスへのアウトバウンドトラフィックを探す必要があります。
最も実用的な軽減策は、特に管理された環境でコミュニティプラグインの使用を制限または確認することです。
攻撃はユーザーのインタラクションとプラグイン構成に大きく依存しているため、ポリシーコントロール、プロセス監視、ネットワーク検出を組み合わせることで、これを早期に停止する最良の機会が与えられます。
翻訳元: https://cyberpress.org/obsidian-plugin-becomes-malware-launcher/
