网络安全研究人员发现,威胁行为者正在滥用广受欢迎的笔记工具 Obsidian 的 Shell Commands 社区插件,在不利用任何软件漏洞的情况下,悄无声息地在受害者设备上执行恶意代码。该攻击活动被追踪为 REF6598,主要针对金融和加密货币行业的从业人员。
精心设计的社交工程攻击
攻击始于一场精心策划的社交工程骗局。威胁行为者伪装成风险投资公司代表,通过 LinkedIn 联系潜在受害者。当目标对象回应后,对话会被转移到 Telegram 群组,多名虚假"合作伙伴"加入群聊以增强可信度。
随后,攻击者会引导受害者使用 Obsidian(被描述为该公司的内部管理数据库),并提供凭证让受害者连接到一个由攻击者完全控制的云端保险库。
恶意插件实现无漏洞攻击
Elastic Security Labs 的研究团队在发现 Obsidian 作为父进程触发可疑 PowerShell 执行的行为警报后,确认了此次攻击活动。研究人员 Salim Bitam、Samir Bousseaden 和 Daniel Stepanic 追踪到攻击行为直接源自 Obsidian 本身,排除了第三方 DLL 旁加载或 JavaScript 注入的可能性。
研究团队确认,安装在恶意保险库中的 Shell Commands 插件被配置为在保险库打开时立即执行攻击者定义的 shell 命令,无需受害者进行任何额外交互。
跨平台攻击载荷
该攻击活动同时针对 Windows 和 macOS 系统。在 Windows 平台上,攻击链最终会部署一个名为 PHANTOMPULSE 的新型远程访问木马(RAT),该木马具备键盘记录、屏幕截图捕获、进程注入和权限提升等完整功能。在 macOS 平台上,攻击使用混淆处理的 AppleScript 投放器,并结合基于 Telegram 的备用命令与控制(C2)通信机制。
两种攻击路径都设计为隐藏在正常应用程序行为背后,大大提高了传统检测方法的门槛。
从保险库同步到最终载荷
当受害者打开攻击者控制的保险库并启用社区插件同步时,被篡改的 Shell Commands 插件的 data.json 配置文件会静默下载并触发执行。在 Windows 系统上,该插件会发起两个包含 Base64 编码字符串的 Invoke-Expression 调用,连接到位于 195.3.222[.]251 的暂存服务器以下载 PowerShell 脚本。
该脚本随后使用 BitsTransfer 下载一个名为 syncobs.exe 的 64 位可执行文件,并通过"GREEN FILE FOUND ON PC"和"RED DOWNLOAD ERROR"等颜色编码状态消息向 C2 服务器报告每个步骤。
研究人员将下载的可执行文件命名为 PHANTOMPULL,它会从其自身资源中解密 AES-256-CBC 加密的载荷,并使用反射加载技术将其完全加载到内存中。该恶意软件从不将最终阶段写入磁盘,这使得通过传统基于文件的扫描方法极难检测。PHANTOMPULL 还采用带有 50 毫秒延迟的计时器队列回调来移交执行,这种策略可帮助其绕过沙箱环境检测。
基于区块链的 C2 通信机制
最终部署的 RAT——PHANTOMPULSE 采用了一种基于公共以太坊区块链数据的新型 C2 解析技术。该恶意软件会查询三个区块链网络上的 Blockscout API,从与硬编码钱包地址关联的交易输入字段中读取经过 XOR 加密的 C2 URL。
研究人员指出该机制存在重大设计缺陷:由于 PHANTOMPULSE 总是选择最近的交易而不验证发送者身份,任何从二进制文件中提取钱包地址和 XOR 密钥的第三方都可以提交竞争交易,将所有受感染主机重定向到沉洞服务器。
防御建议
金融和加密货币行业的组织应监控基于 Electron 的应用程序(如 Obsidian)产生的异常子进程创建行为。建议启用行为端点检测工具,并在可能的情况下强制执行社区插件安装策略。安全团队应查找与 obsidian-shellcommands 路径匹配的文件事件,并阻止包括 195.3.222[.]251 和 panel.fefea22134[.]net 在内的已知基础设施。Elastic 发布的 PHANTOMPULL 和 PHANTOMPULSE 的 YARA 规则为跨环境检测提供了实用起点。
