黑客利用 Obsidian 插件传播 PHANTOMPULSE 木马
据 Elastic Security Labs 披露,威胁行为者冒充风险投资公司,通过 LinkedIn 和 Telegram 引诱目标打开携带恶意代码的 Obsidian 笔记库。此次攻击利用 Obsidian 的 Shell Commands 插件,在受害者打开笔记库时无需利用漏洞即可执行恶意载荷。
攻击中发现的 PHANTOMPULSE 是一种此前未被记录的 Windows 远程访问木马(RAT),其通过以太坊交易数据实现区块链 C2 通信。macOS 端载荷则采用混淆的 AppleScript 投递器,并以 Telegram 频道作为备用 C2。Elastic Defend 在 PHANTOMPULSE 执行前及时检测并阻止了该攻击。
