門戶新聞訊息,4月15日——Elastic Security Labs 揭露,威脅行為者冒充風險投資公司,藉由 LinkedIn 和 Telegram 引誘目標開啟惡意的 Obsidian 筆記庫(note vaults)。該攻擊利用 Obsidian 的 Shell Commands 外掛程式,讓受害者在開啟筆記庫時執行惡意有效載荷,且不需要利用任何漏洞。
在該攻擊中發現了 PHANTOMPULSE,這是一款先前未被記錄的 Windows 遠端存取木馬 (RAT)。它透過以太坊交易資料進行區塊鏈 C2 通信。macOS 的有效載荷使用了經過混淆的 AppleScript 投放器,並以 Telegram 頻道作為備援 C2。
Elastic Defend 在 PHANTOMPULSE 執行前偵測並阻止了此次攻擊。
