Дослідники Elastic Security Labs описали цільову кампанію REF6598, у межах якої зловмисники використовують популярний кросплатформений застосунок для нотаток Obsidian як початковий вектор атаки. Мішенню обрано фахівців фінансового та криптовалютного сектору, а фінальним етапом компрометації стає раніше не задокументований троян віддаленого доступу PHANTOMPULSE для Windows.
Соціальна інженерія через LinkedIn та Telegram: формування довіри
Початкова фаза атаки повністю побудована на соціальній інженерії. Зловмисники виходять на ціль через LinkedIn, представляючись співробітниками венчурних фондів або інвестиційних компаній. Після короткого «знайомства» вони переводять діалог у груповий чат Telegram, де вже присутні уявні «партнери» та «колеги».
У чаті обговорюють ліквідність, криптовалютні продукти, інвестиційні можливості та фінансові сервіси, створюючи враження реальної професійної дискусії. Такий сценарій добре вписується у статистику: за різними звітами, включно з Verizon DBIR, до 70–75 % витоків даних пов’язані з людським фактором, а не з технічними вразливостями.
Obsidian як вектор атаки: зловживання плагінами замість експлойтів
Ключова особливість кампанії REF6598 — відсутність класичного експлойту. Кіберзлочинці не ламають Obsidian, а зловживають його легітимними можливостями. Жертві пропонують під’єднатися до «спільного робочого простору» або «дашборду» через облачний vault Obsidian, передаючи готові облікові дані.
Після відкриття цього сховища користувача переконують увімкнути синхронізацію пункту Installed community plugins. За замовчуванням цей параметр вимкнений і не може бути активований дистанційно, тому атакувальникам критично важливо домогтися ручного вмикання з боку жертви – саме тут спрацьовує соціальна інженерія.
Shell Commands і Hider: прихована доставка шкідливого коду
У підготовленому vault зловмисники заздалегідь налаштовують community-плагіни Shell Commands та Hider. Перший дозволяє автоматизовано виконувати системні команди, другий — приховувати елементи інтерфейсу Obsidian (рядок стану, скрол-бари, підказки тощо), маскуючи будь-яку підозрілу активність.
Як тільки синхронізація плагінів увімкнена, конфігураційні JSON-файли vault-а підтягують шкідливі налаштування, що запускають ланцюжок інфікування. Весь злоякісний функціонал зосереджено саме в конфігурації, без створення окремих виконуваних файлів у звичних місцях. Це ускладнює виявлення класичними антивірусними рішеннями, орієнтованими на файли та бінарі.
PHANTOMPULSE: новий RAT з керуванням через блокчейн Ethereum
На системах Windows плагін Shell Commands запускає скрипт PowerShell, який завантажує проміжний завантажувач PHANTOMPULL. Той розшифровує та розгортає в пам’яті основний модуль — PHANTOMPULSE, сучасний троян віддаленого доступу (RAT), частково згенерований із використанням інструментів штучного інтелекту.
Найбільш нетиповий елемент PHANTOMPULSE — механізм командно-контрольної інфраструктури (C2). Замість статичних доменів або IP-адрес троян звертається до блокчейну Ethereum і зчитує останню транзакцію для закодованої в ньому жорстко заданої криптогаманець-адреси. У транзакційних даних приховано актуальний C2-адрес, що істотно ускладнює блокування інфраструктури через традиційні DNS- та IP-фільтри.
Отримавши адресу сервера, PHANTOMPULSE використовує WinHTTP для обміну даними, надсилаючи телеметрію системи та отримуючи інструкції. Функціонал RAT включає виконання довільних команд, завантаження та вивантаження файлів, кейлоггінг, зняття скріншотів і детальний збір інформації про середовище, що забезпечує повний дистанційний контроль над робочою станцією спеціаліста.
Сценарій атаки на macOS: AppleScript і Telegram як резервний C2
Для macOS зловмисники застосовують окремий ланцюжок. Той самий плагін Shell Commands запускає обфускований AppleScript-дропер, який по черзі перевіряє список заздалегідь відомих доменів для виходу на C2. Якщо всі вони недоступні, у гру вступає Telegram як «dead drop» — канал, через який можна отримати актуальні параметри керування.
Дропер завантажує другий етап шкідливого коду з доступного C2-домена та виконує його через osascript. Дослідникам не вдалося отримати цей другий етап, оскільки на момент аналізу інфраструктура керування вже була відключена, а спробу компрометації виявлено й заблоковано до реалізації цілей зловмисників.
Ризики для фінансового сектору та рекомендації із захисту
REF6598 наочно демонструє тренд, коли киберзлочинці переходять від експлуатації вразливостей до зловживання довіреними застосунками та їх легітимними функціями. У такій моделі атаки класичний сигнатурний захист і фокус на відомих CVE втрачають ефективність, адже шкідлива активність маскується під звичайну роботу користувача.
Практичні кроки для компаній фінансового та криптовалютного сектору
Організаціям варто переглянути політики щодо застосунків для нотаток, знань та продуктивності. Рекомендовано обмежити або централізовано контролювати community-плагіни Obsidian та інших подібних інструментів, запровадити білі списки дозволених розширень і відстежувати запуск PowerShell, AppleScript та інших інтерпретаторів із нетипових батьківських процесів, зокрема Obsidian.
Не менш важливим залишається навчання співробітників сучасним методам соціальної інженерії: перевірка особи потенційних «інвесторів» у LinkedIn, обережність при переході до сторонніх месенджерів, критичний підхід до будь-яких запитів на підключення до «спільних робочих просторів» та ввімкнення синхронізації плагінів.
Поєднання технологічних засобів (EDR/XDR з аналізом ланцюжків процесів, контроль плагінів, мережевий моніторинг) із системною підготовкою персоналу суттєво підвищує стійкість до подібних атак. Чим менше користувачів готові «на прохання інвестора з LinkedIn» вводити чужі облікові дані в Obsidian і змінювати налаштування без розуміння ризиків, тим складніше кіберзлочинцям реалізувати навіть технічно витончені кампанії на кшталт REF6598. Саме зараз доречно проаналізувати власну модель загроз, оновити політики безпеки та включити цей сценарій до програм навчання та тестування співробітників.
