### LinkedInとTelegram経由での初期アクセス 攻撃は、**LinkedIn**と**Telegram**における巧妙なソーシャルエンジニアリング戦術から始まります。攻撃者はベンチャーキャピタル企業を装い、**LinkedIn**で潜在的な被害者に接触し、その後、信頼を確立するために会話を**Telegram**グループに移します。 ### Obsidianのコミュニティプラグインの悪用 標的は、クラウドホスト型のボルトに接続することで共有ダッシュボードにアクセスするために**Obsidian**を使用するように指示されます。このボルトを開くと感染シーケエンスがトリガーされ、ユーザーに「インストール済みコミュニティプラグイン」の同期を有効にするよう促し、悪意のあるコードを実行します。 **Elastic Security Labs**の研究者であるSalim Bitam、Samir Bousseaden、Daniel Stepanicは、**Obsidian**のコミュニティプラグインエコシステム、特に[Shell Commands](https://github.com/Taitava/obsidian-shellcommands)および[Hider](https://github.com/kepano/obsidian-hider)プラグインの悪用を強調しました。これらのプラグインは、被害者が悪意のあるボルトを開くと、サイレントにコードを実行します。 攻撃者は、デフォルトで無効になっているコミュニティプラグインの同期を手動で有効にするように標的を説得する必要があります。**Hider**プラグインは、**Shell Commands**と連携して、**Obsidian**の特定のユーザーインターフェイス要素を隠蔽するために使用されます。 ### PHANTOMPULSE RATの展開 Windowsでは、実行されたコマンドが**PowerShell**スクリプトを呼び出し、**PHANTOMPULL**と呼ばれる中間ローダーをドロップし、これが**PHANTOMPULSE**をメモリ内で復号化して起動します。 **PHANTOMPULSE**は、コマンド・アンド・コントロール（C2）サーバーを解決するために**Ethereum**ブロックチェーンを使用するAI生成バックドアです。ハードコードされたウォレットアドレス（[https://etherscan.io/address/0xc117688c530b660e15085bF3A2B664117d8672aA](https://etherscan.io/address/0xc117688c530b660e15085bF3A2B664117d8672aA)）に関連付けられた最新のトランザクションを取得します。このマルウェアは、通信に**WinHTTP**を使用し、システムテレメトリデータの送信、コマンドの取得、実行結果の送信、ファイル/スクリーンショットのアップロード、キーストロークのキャプチャを可能にします。 サポートされているコマンドは以下のとおりです。 * `inject`: シェルコード/DLL/EXEをターゲットプロセスにインジェクトします。 * `drop`: ファイルをディスクにドロップして実行します。 * `screenshot`: スクリーンショットをキャプチャしてアップロードします。 * `keylog`: キーロガーを開始/停止します。 * `uninstall`: パーシステンスの削除を開始し、クリーンアップを実行します。 * `elevate`: [COM Elevation Moniker](https://learn.microsoft.com/en-us/windows/win32/com/the-com-elevation-moniker)を介してSYSTEMに権限を昇格させます。 * `downgrade`: SYSTEMから昇格された管理者権限に移行します。 ### macOSの攻撃ベクトル macOSでは、**Shell Commands**プラグインが難読化された**AppleScript**ドロッパーを提供し、ハードコードされたドメインリストを反復処理し、フォールバックC2解決のためのデッドドロップリゾルバーとして**Telegram**を使用します。これにより、C2インフラストラクチャのローテーションが容易になります。 ドロッパー スクリプトは、C2ドメインに連絡して、`osascript`を介してセカンドステージのペイロードをダウンロードして実行します。C2サーバーがオフラインであるため、このペイロードの正確な性質は現在不明です。侵入は、攻撃者が目標を達成する前に検出およびブロックされました。 ### 結論 **Elastic**は、**REF6598**が、攻撃者が初期アクセスに信頼されたアプリケーションを創造的に悪用し、標的を絞ったソーシャルエンジニアリングを採用していることを示していると結論付けています。**Obsidian**のコミュニティプラグインエコシステムを悪用することで、攻撃者は従来のセキュリティ制御を回避し、アプリケーションの意図された機能に依存して任意のコードを実行します。