安全機構:黑客利用 Obsidian 傳播 PHANTOMPULSE 遠端控制程式
新型社會工程攻擊揭露
安全研究機構 Elastic Security Labs 於 4 月 15 日披露一起針對金融及加密貨幣行業人員的新型社會工程攻擊活動。攻擊者在 LinkedIn 和 Telegram 上偽裝成風險投資機構,誘騙目標開啟內建惡意載入的 Obsidian 筆記庫,進而部署此前從未被記錄的 Windows 遠端控制程式 PHANTOMPULSE。
攻擊技術細節
該攻擊無需利用任何軟體漏洞,而是濫用 Obsidian 的 Shell Commands 外掛程式,在筆記庫開啟時自動執行惡意程式碼。在 macOS 端,攻擊者透過混淆的 AppleScript 投放器配合 Telegram 頻道作為備用指令控制伺服器;在 Windows 端,則藉助以太坊交易數據實現區塊鏈化的 C2 地址解析。