Elastic Security Labs披露新型社会工程攻击:伪装风投机构,针对金融与加密行业
Elastic Security Labs于4月15日披露一起针对金融及加密货币行业的社会工程攻击活动,攻击者在LinkedIn和Telegram上冒充风险投资机构,诱导目标打开含恶意载荷的Obsidian笔记库,并部署此前未被记录的Windows远控木马PHANTOMPULSE。
安全研究机构Elastic Security Labs于4月15日公开披露了一起新型社会工程攻击活动,攻击对象集中于金融及加密货币行业从业人员。
据披露,攻击者在LinkedIn和Telegram平台上伪装成风险投资机构,以此建立信任关系,进而诱骗目标打开内置恶意载荷的Obsidian笔记库。此次攻击的显著特点在于不依赖任何已知软件漏洞,而是滥用Obsidian的Shell Commands插件——该插件在笔记库被打开时可自动执行预设代码,从而触发恶意程序。
Windows端攻击部署了一款此前从未被安全社区记录的远控木马PHANTOMPULSE,并借助以太坊区块链上的交易数据实现C2(指令控制)服务器地址的动态解析,增加了溯源与拦截难度。macOS端则通过混淆处理的AppleScript投放器传播恶意载荷,同时以Telegram频道作为备用指令控制通道。
目前,此次攻击活动的起始时间、受害者规模、PHANTOMPULSE的具体功能细节以及攻击者身份均未被披露。
解读
此次攻击活动在技术层面呈现出多项值得关注的特征:其一,利用合法工具(Obsidian Shell Commands插件)执行恶意代码,规避了传统基于漏洞利用的检测机制;其二,将以太坊区块链交易数据用于C2地址解析,使得封锁指令控制服务器的常规防御手段失效;其三,跨平台覆盖Windows与macOS,并结合多条备用通信渠道,体现出较强的对抗意识。对于加密货币及金融行业从业者而言,来自陌生联系人的文件共享请求——尤其是涉及笔记库或项目文档的——需保持较高警惕。