Исследователи Elastic Security Labs зафиксировали новую целевую кампанию социальной инженерии, в которой злоумышленники используют популярное кроссплатформенное приложение для заметок Obsidian как начальный вектор атаки. Целью операции, получившей обозначение REF6598, стали специалисты из финансового и криптовалютного сектора, а финальным полезным грузом выступает ранее не документированный троян удалённого доступа для Windows под названием PHANTOMPULSE.
Новая кампания социальной инженерии через Obsidian против финансового и криптовалютного сектора
Атака начинается с тщательно продуманной социальной инженерии. Злоумышленники выходят на жертву через LinkedIn, представляясь представителями венчурного фонда или инвестиционной компании, а затем переводят общение в групповой чат Telegram, где присутствуют якобы «партнёры» и «коллеги». В чате обсуждаются темы ликвидности, криптовалютных продуктов и финансовых сервисов, что создаёт иллюзию легитимной деловой коммуникации.
По данным отраслевых отчётов, в том числе Verizon DBIR, до 70–75 % инцидентов утечки данных так или иначе связаны с человеческим фактором. Кампания REF6598 демонстрирует, как социальная инженерия продолжает оставаться наиболее результативным инструментом для обхода технических средств защиты.
Как злоумышленники используют плагины Obsidian для выполнения кода
Ключевая особенность атаки — злоупотребление легитимным функционалом Obsidian, а не эксплуатация уязвимости. Жертве предлагают подключиться к «общему рабочему пространству» или «дашборду» через облачный vault Obsidian, для которого предоставляются учётные данные. Как только пользователь открывает этот vault, его просят включить синхронизацию пункта Installed community plugins.
Именно на этом шаге запускается цепочка заражения. Злоумышленники используют плагины Shell Commands и Hider из экосистемы community-плагинов Obsidian. Первый позволяет выполнять системные команды при определённых условиях, второй скрывает элементы интерфейса (строку состояния, полосы прокрутки, подсказки и т.д.), маскируя вредоносную активность.
Так как синхронизация community-плагинов по умолчанию отключена и не может быть активирована удалённо, атакующим приходится добиваться от жертвы ручного включения этой опции. После этого конфигурационные JSON-файлы vault-а подгружают заранее настроенные плагины и запускают выполнение команд. Исследователи Elastic отмечают, что полезная нагрузка полностью живёт в конфигурации, что делает её малозаметной для традиционных антивирусов, ориентированных на файлы и исполняемые объекты.
Троян PHANTOMPULSE: удалённый доступ и C2 через блокчейн Ethereum
На системах Windows плагин Shell Commands запускает PowerShell-скрипт, который выгружает промежуточный загрузчик PHANTOMPULL. Тот, в свою очередь, расшифровывает и разворачивает в памяти основной модуль — троян удалённого доступа PHANTOMPULSE, созданный с применением генеративных AI-инструментов.
Особенность PHANTOMPULSE — нетипичный механизм управления и контроля (C2). Для поиска адреса сервера управления он обращается к блокчейну Ethereum, считывая последнюю транзакцию, связанную с жёстко зашитым в коде кошельком. Этот подход усложняет блокировку инфраструктуры, так как традиционные методы фильтрации доменов и IP-адресов становятся менее эффективными.
Получив актуальный адрес C2, троян использует WinHTTP для связи с сервером, передавая системную телеметрию и получая команды. Набор возможностей типичен для современных RAT: выполнение произвольных команд, загрузка и выгрузка файлов, снятие скриншотов, кейлоггинг и сбор детальной информации о системе. Всё это обеспечивает злоумышленникам полный удалённый контроль над рабочей станцией специалиста финансовой организации или криптовалютной компании.
Цепочка атаки на macOS: AppleScript, Telegram и гибкая инфраструктура C2
Для macOS используется отдельный сценарий. Плагин Shell Commands запускает обфусцированный AppleScript-дроппер, который перебирает список жёстко заданных доменов и, при необходимости, задействует Telegram как «dead drop» для резервного поиска C2. Такой подход даёт атакующим гибкость: инфраструктуру управления можно быстро ротировать, а одних только блокировок доменов оказывается недостаточно.
На финальном этапе дроппер обращается к найденному C2-домену, загружает второй этап вредоносного кода и выполняет его через osascript. Исследователям не удалось получить сам второй этап — инфраструктура C2 на момент анализа была недоступна, а зафиксированная попытка компрометации была блокирована до достижения злоумышленниками целей.
Что означает атака через Obsidian для организаций и как защититься
Кампания REF6598 подчёркивает устойчивый тренд: киберпреступники всё чаще используют доверенные приложения и их легальные возможности как канал для внедрения и удержания доступа. Обход уязвимостей и «эксплойтов» в пользу функциональных возможностей снижает эффективность классических мер защиты, ориентированных на сигнатуры и эксплуатацию известных багов.
Для компаний из финансового и криптовалютного сектора имеет смысл пересмотреть модель угроз и политику использования приложений заметок и знаний: ограничить или контролировать community-плагины, внедрить белые списки доверенных расширений, включить мониторинг запуска PowerShell, AppleScript и других интерпретаторов из нетипичных родительских процессов, таких как Obsidian. Важную роль играет и обучение сотрудников: проверка личности «инвесторов» и «партнёров» в LinkedIn, осторожность при переходе в мессенджеры и подключении к «общим рабочим пространствам».
Организациям рекомендуется комбинировать технические средства (EDR/ XDR с анализом цепочек процессов, контроль плагинов, сетевой мониторинг) с постоянным повышением осведомлённости персонала о современных сценариях социальной инженерии. Чем меньше пользователей готовы «по просьбе инвестора из LinkedIn» включать синхронизацию плагинов и вводить чужие учётные данные в Obsidian или другие приложения, тем сложнее становится реализовать подобные атаки, даже если они изящно используют легитимные функции программного обеспечения.
