### Erster Zugriff über LinkedIn und Telegram Der Angriff beginnt mit ausgefeilten Social-Engineering-Taktiken auf **LinkedIn** und **Telegram**. Angreifer geben sich als Venture-Capital-Firma aus, kontaktieren potenzielle Opfer auf **LinkedIn** und verlagern dann das Gespräch in eine **Telegram**-Gruppe, um Glaubwürdigkeit aufzubauen. ### Missbrauch von Obsidian Community Plugins Das Ziel wird angewiesen, **Obsidian** zu verwenden, um über eine Verbindung zu einem Cloud-gehosteten Vault auf ein gemeinsames Dashboard zuzugreifen. Dieser Vault löst die Infektionssequenz beim Öffnen aus und fordert den Benutzer auf, die Synchronisierung von "Installierten Community-Plugins" zu aktivieren, was bösartigen Code ausführt. Forscher Salim Bitam, Samir Bousseaden und Daniel Stepanic von **Elastic Security Labs** hoben den Missbrauch des Community-Plugin-Ökosystems von **Obsidian** hervor, insbesondere der Plugins [Shell Commands](https://github.com/Taitava/obsidian-shellcommands) und [Hider](https://github.com/kepano/obsidian-hider). Diese Plugins führen stillschweigend Code aus, wenn ein Opfer den bösartigen Vault öffnet. Der Angreifer muss das Ziel davon überzeugen, die Synchronisierung von Community-Plugins manuell zu aktivieren, da diese standardmäßig deaktiviert ist. Das **Hider**-Plugin wird in Verbindung mit **Shell Commands** verwendet, um bestimmte Benutzeroberflächenelemente von **Obsidian** zu verbergen. ### Bereitstellung des PHANTOMPULSE RAT Unter Windows rufen die ausgeführten Befehle ein **PowerShell**-Skript auf, um einen Zwischenlader namens **PHANTOMPULL** abzulegen, der **PHANTOMPULSE** im Speicher entschlüsselt und startet. **PHANTOMPULSE** ist eine KI-generierte **Backdoor**, die die **Ethereum**-Blockchain zur Auflösung ihres Command-and-Control (C2)-Servers nutzt. Sie ruft die neueste Transaktion ab, die mit einer hartcodierten Wallet-Adresse verknüpft ist ([https://etherscan.io/address/0xc117688c530b660e15085bF3A2B664117d8672aA](https://etherscan.io/address/0xc117688c530b660e15085bF3A2B664117d8672aA)). Die **Malware** verwendet **WinHTTP** für die Kommunikation, wodurch sie Systemtelemetriedaten senden, Befehle abrufen, Ausführungsergebnisse übermitteln, Dateien/Screenshots hochladen und Tastatureingaben erfassen kann. Unterstützte Befehle umfassen: * `inject`: Injiziert **shellcode**/DLL/EXE in den Zielprozess. * `drop`: Legt eine Datei auf der Festplatte ab und führt sie aus. * `screenshot`: Erfasst und lädt einen Screenshot hoch. * `keylog`: Startet/stoppt einen **keylogger**. * `uninstall`: Leitet die Entfernung der Persistenz ein und führt eine Bereinigung durch. * `elevate`: Eskaliert Berechtigungen auf SYSTEM über den [COM elevation moniker](https://learn.microsoft.com/en-us/windows/win32/com/the-com-elevation-moniker). * `downgrade`: Übergang von SYSTEM zu erhöhten Administratorrechten. ### macOS Angriffsvektor Unter macOS liefert das **Shell Commands**-Plugin einen verschleierten **AppleScript**-Dropper, der eine hartcodierte Liste von Domains durchläuft und **Telegram** als Dead-Drop-Resolver für die Fallback-C2-Auflösung verwendet. Dies ermöglicht eine einfache Rotation der C2-Infrastruktur. Das Dropper-Skript kontaktiert die C2-Domain, um eine zweite Stufe **payload** über `osascript` herunterzuladen und auszuführen. Die genaue Natur dieser **payload** ist derzeit unbekannt, da die C2-Server offline sind. Die Intrusion wurde erkannt und blockiert, bevor der Angreifer seine Ziele erreichen konnte. ### Fazit **Elastic** kommt zu dem Schluss, dass **REF6598** zeigt, wie Angreifer vertrauenswürdige Anwendungen kreativ für den ersten Zugriff missbrauchen und gezieltes Social Engineering einsetzen. Durch die Ausnutzung des Community-Plugin-Ökosystems von **Obsidian** umgehen Angreifer traditionelle Sicherheitskontrollen und verlassen sich auf die vorgesehene Funktionalität der Anwendung, um beliebigen Code auszuführen.