Elastic Security Labs、Obsidianプラグイン経由で仮想通貨ユーザーを標的とする攻撃を発見
Elastic Security Labsによると、攻撃者はLinkedInとTelegramでソーシャルエンジニアリングを用い、悪意あるObsidian設定を通じて仮想通貨および金融分野の専門家に秘匿性の高いマルウェアを展開した。
ETH
ファクトチェック
この主張は、検証済みの記事「Obsidianノートアプリを通じて仮想通貨ユーザーを標的にする新たなマルウェア詐欺」と強く整合している。同記事は、Elastic Security Labsが、攻撃者がLinkedInとTelegramでのソーシャルエンジニアリングに加え、悪意あるObsidianの設定を用いて、仮想通貨および金融分野の専門家を標的にしていたと説明したと明記している。これはユーザーの文言とほぼ一致する。裏付けは、検索されたElasticのソースタイトル「Phantom in the vault: Obsidian abused to deliver PhantomPulse RAT」と、追跡されたElastic Security LabsのX投稿URLによってさらに補強されており、いずれもElasticがこの件の発信元であることを示している。確度が高ではなく中である理由は、この実行ではElasticのレポートとX投稿の直接取得に失敗し、一次ソースをページ内容から独立して検証できなかったためである。
要約
Elastic Security Labsは4月15日、金融および仮想通貨分野の従事者を標的とするソーシャルエンジニアリング・キャンペーンを公表した。攻撃者はLinkedInとTelegram上でベンチャーキャピタル企業を装い、標的に悪意あるObsidian保管庫を開かせた。報告書によると、このキャンペーンではObsidianのShell Commandsプラグインを悪用し、ソフトウェアの脆弱性を突くことなくペイロードを実行した。Elastic Security Labsによれば、この作戦ではこれまで文書化されていなかったWindows向けリモートアクセス型トロイの木馬「PHANTOMPULSE」が展開され、このマルウェアはブロックチェーンベースのC2チャネルとしてイーサリアムのトランザクションデータを使用していた。報告書はこのマルウェアを秘匿性が高いと説明し、このキャンペーンが仮想通貨および金融分野の専門家を特に標的としていたと述べた。
用語解説
- PHANTOMPULSE: Elastic Security Labsが今回のキャンペーンで特定した、これまで文書化されていなかったWindows向けリモートアクセス型トロイの木馬。
- Shell Commands plugin: システムコマンドを実行できるObsidianプラグイン。本件では、脆弱性を悪用することなく悪意あるペイロードを起動するために悪用された。
- Ethereum transaction data: イーサリアムのブロックチェーン取引に埋め込まれたデータで、マルウェアがC2通信チャネルとして使用していたもの。