ゲートニュースメッセージ、4月15日 — Elastic Security Labsは、脅威アクターがベンチャーキャピタル企業になりすまして、LinkedInおよびTelegramを通じて標的を誘導し、悪意のあるObsidianノートのヴォルトを開かせたことを明らかにしました。この攻撃は、ObsidianのShell Commandsプラグインを悪用して、被害者がヴォルトを開いたときに悪意のあるペイロードを実行するものであり、脆弱性の悪用は不要でした。
PHANTOMPULSEは、これまで未記録だったWindowsのリモートアクセス型トロイの木馬 (RAT) であり、攻撃の中で発見されました。これは、Ethereumのトランザクションデータを介したブロックチェーンC2通信を使用します。macOSのペイロードでは、難読化されたAppleScriptのドロッパーを用い、バックアップのC2としてTelegramチャンネルが使われました。
Elastic Defendは、PHANTOMPULSEの実行前に攻撃を検知し、遮断しました。