Phantom im Tresor: Obsidian für die Verbreitung von PhantomPulse RAT missbraucht

SOC Prime Team

Folgen

Phantom im Tresor: Obsidian für die Verbreitung von PhantomPulse RAT missbraucht

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Elastic Security Labs hat eine neue Social-Engineering-Kampagne aufgedeckt, die die Obsidian-Notizplattform und ihr Community-Plugin-Ökosystem missbraucht, um PhantomPulse auszuliefern, einen bisher undokumentierten RAT, der sowohl Windows- als auch macOS-Systeme ins Visier nimmt. Der Angriff scheint auf Personen im Finanz- und Kryptowährungsbereich abzuzielen, wobei Angreifer LinkedIn und Telegram nutzen, um einen kompromittierten Obsidian-Tresor als erste Köder anzubieten. Unter Windows setzt die Infektionskette auf PowerShell, einen benutzerdefinierten In-Memory-Loader namens PhantomPull und reflektive Ladevorgänge. Auf macOS verwenden die Angreifer AppleScript zusammen mit einem Telegram-basierten Dead-Drop-Kommandosteuerungsmechanismus. Die Kampagne beinhaltet zudem die blockchain-basierte C2-Erkennung über Ethereum-Transaktionsdaten.

Untersuchung

Forscher reproduzierten den Angriff, indem sie einen bewaffneten Obsidian-Tresor erstellten, der die Shell Commands und Hider Plugins nutzte, um bösartige Ausführungen auszulösen. Während der Analyse beobachteten sie PowerShell-Skripte, die einen Loader mit dem Namen syncobs.exe von 195.3.222.251 herunterluden, der dann eine verschlüsselte Nutzlast abrief und sie reflektiv im Speicher lud. Der Loader erstellte einen Mutex, kommunizierte mit einem Kontrollpanel, das auf panel.fefea22134.net gehostet wurde, und unterstützte Ausweichinfrastrukturen, die aus Blockchaindaten abgeleitet wurden. Auf macOS stellte die Malware die Persistenz mittels eines LaunchAgent-Plists her und lud eine sekundäre AppleScript-Nutzlast von einer hartcodierten Domain und einem Telegram-Kanal herunter. Ermittler bergen wichtige Artefakte aus JSON-Konfigurationsdateien und In-Memory-Ressourcen, die mit beiden Infektionspfaden verbunden sind.

Minderung

Organisationen sollten verhindern, dass Obsidian unautorisierte Kindprozesse erzeugt, strenge Kontrollen über die Nutzung von Community-Plugins anwenden und auf PowerShell-Aktivitäten überwachen, bei denen Obsidian als übergeordneter Prozess erscheint. Netzwerkverteidigungen sollten ausgehenden Datenverkehr zu 195.3.222.251 und den Domains panel.fefea22134.net, 0x666.info, und bekannten Telegram-Dead-Drop-Standorten blockieren, die mit der Kampagne in Verbindung stehen. Sicherheitsteams sollten auch nach Anzeichen für reflektives Laden, Missbrauch von Timer-Queue-Callbacks und dem spezifischen Mutex-Wert suchen, der vom Malware-Loader verwendet wird.

Antwort

Wenn verdächtige Kindprozesse von Obsidian erkannt werden, sollte der infizierte Host sofort isoliert und das .obsidian -Verzeichnis für die forensische Untersuchung bösartiger Plugin-Dateien und Tresorinhalte gesammelt werden. Suchen Sie nach dem Mutex hVNBUORXNiFLhYYh, scannen Sie dann Endpunkte nach Spuren des PHANTOMPULL-Loaders und PHANTOMPULSE-RAT-Binärdateien. Sperren Sie die identifizierte Kommando- und Kontrollinfrastruktur, widerrufen Sie alle kompromittierten Obsidian-bezogenen Anmeldeinformationen und führen Sie eine umfassendere Überprüfung auf Anmeldeinformationsdiebstahl aus, die Finanz- und Kryptowährungskonten betrifft.

graph TB %% Class definitions classDef technique fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc %% Technique nodes tech_valid_accounts[„Technik – T1078 Gültige Konten Beschreibung: Angreifer verwenden kompromittierte Anmeldedaten für den Zugriff auf Benutzerkonten. Details: Obsidian-Zugangsdaten an Opfer übergeben“] class tech_valid_accounts technique tech_user_execution[„Technik – T1204 Benutzer-Ausführung Beschreibung: Benutzer werden zur Ausführung von Schadcode verleitet. Details: Opfer öffnet gemeinsam genutzten Vault und aktiviert Plugin-Sync“] class tech_user_execution technique tech_powershell_initial[„Technik – T1059.001 PowerShell Beschreibung: PowerShell wird zur Ausführung von Befehlen genutzt. Details: Base64-codierter PowerShell-Befehl lädt script1.ps1“] class tech_powershell_initial technique tech_bits_transfer[„Technik – T1105 Tool-Transfer Beschreibung: Übertragung von Tools oder Payloads auf kompromittierte Hosts. Details: BitsTransfer lädt syncobs.exe (Second-Stage-Binary)“] class tech_bits_transfer technique tech_reflective_loading[„Technik – T1620 Reflective Code Loading Beschreibung: Code wird direkt im Speicher geladen. Details: PHANTOMPULL entschlüsselt AES-256-CBC Payload im Speicher“] class tech_reflective_loading technique tech_process_injection[„Technik – T1055.002 PE-Injektion Beschreibung: Schadcode-Injektion in laufende Prozesse. Details: Reflective Module Stomping“] class tech_process_injection technique tech_dynamic_resolution[„Technik – T1568 Dynamische Auflösung Beschreibung: C2-Adressen werden zur Laufzeit aufgelöst. Details: Blockchain-Transaktion löst C2-URL auf“] class tech_dynamic_resolution technique tech_powershell_c2[„Technik – T1059.001 PowerShell Beschreibung: PowerShell für C2-Beaconing und Befehle“] class tech_powershell_c2 technique tech_applescript[„Technik – T1059.007 AppleScript Beschreibung: Ausführung von Schadcode auf macOS. Details: Dropper via osascript“] class tech_applescript technique tech_launch_agent[„Technik – T1543.001 Launch Agent Beschreibung: Persistenz über LaunchAgent. Details: plist installiert“] class tech_launch_agent technique tech_dead_drop_resolver[„Technik – T1102.001 Dead Drop Resolver Beschreibung: Webdienst als C2-Resolver. Details: Telegram als alternativer C2“] class tech_dead_drop_resolver technique %% Tool / Malware nodes tool_syncobs_exe[„Tool – Name: syncobs.exe Beschreibung: Second-Stage-Binary“] class tool_syncobs_exe tool malware_phantompull[„Malware – Name: PHANTOMPULL Beschreibung: Reflective Loader für AES-256-CBC Payload“] class malware_phantompull malware %% Flow connections tech_valid_accounts –>|leads_to| tech_user_execution tech_user_execution –>|leads_to| tech_powershell_initial tech_powershell_initial –>|executes| tech_bits_transfer tech_bits_transfer –>|downloads| tool_syncobs_exe tool_syncobs_exe –>|enables| tech_reflective_loading tech_reflective_loading –>|loads| malware_phantompull malware_phantompull –>|facilitates| tech_process_injection tech_process_injection –>|injects| tool_syncobs_exe tech_process_injection –>|enables| tech_dynamic_resolution tech_dynamic_resolution –>|resolves| tech_powershell_c2 tech_dynamic_resolution –>|resolves| tech_applescript tech_powershell_c2 –>|beacons| tech_dead_drop_resolver tech_applescript –>|creates| tech_launch_agent tech_launch_agent –>|persists| tech_dead_drop_resolver

Angriffsablauf

Angriffs-Narrativ & Befehle:
1. Erste Kompromittierung: Der Angreifer platziert ein bösartiges Obsidian-Plugin (evil-plugin.js) in das Obsidian-Pluginverzeichnis des Benutzers.
2. Auslösung der Ausführung: Wenn Obsidian gestartet wird, führt das Plugin ein PowerShell-One-Liner aus, der notepad.exe via Start-Process. Dies erzeugt die genaue Obsidian.exe → notepad.exe -Prozesskette, die die Regel überwacht.
3. Persistenz: Das Plugin ist so eingestellt, dass es bei jedem Start von Obsidian automatisch geladen wird, sodass der bösartige Kindprozess wiederholt wird.
4. Ausweichmanöver: Das Plugin ruft auch kurz rundll32.exe (T1216.002) auf, um eine harmlose DLL zu laden, und maskiert so die wahre Absicht, während die detektionsauslösende Kette intakt bleibt.

Regressionstest-Skript:

# -------------------------------------------------
# Simulation bösartiges Obsidian-Plugin (PowerShell)
# -------------------------------------------------
# 1. Stellen Sie sicher, dass Obsidian unter dem erwarteten Pfad installiert ist
$obsidianPath = "C:Program FilesObsidianObsidian.exe"
if (-Not (Test-Path $obsidianPath)) {
    Write-Error "Obsidian nicht gefunden unter $obsidianPath"
    exit 1
}

# 2. Starten Sie Obsidian *als Elternprozess* und starten Sie sofort Notepad
$startInfo = New-Object System.Diagnostics.ProcessStartInfo
$startInfo.FileName = $obsidianPath
$startInfo.Arguments = "-c `"Start-Process notepad.exe`""
$startInfo.UseShellExecute = $false
$startInfo.CreateNoWindow = $true

$proc = [System.Diagnostics.Process]::Start($startInfo)

# 3. Optional: rufen Sie eine signierte Binärdatei (rundll32) auf, um T1216.002 zu simulieren
Start-Process -FilePath "C:WindowsSystem32rundll32.exe" -ArgumentList "shell32.dll,Control_RunDLL" -WindowStyle Hidden

# 4. Halten Sie das Skript kurz am Leben, damit Logs erstellt werden können
Start-Sleep -Seconds 5
# -------------------------------------------------

Bereinigungs-Befehle:

# Beenden Sie alle streunenden Obsidian- oder Notepad-Instanzen, die durch den Test erstellt wurden
Get-Process -Name "Obsidian","notepad","rundll32" -ErrorAction SilentlyContinue | Stop-Process -Force

# Entfernen Sie die simulierte bösartige Plugin-Datei (falls vorhanden)
$pluginPath = "$env:APPDATAObsidianpluginsevil-plugin.js"
if (Test-Path $pluginPath) { Remove-Item $pluginPath -Force }

Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten