Obsidian 플러그인이 원격 접근 트로이목마 배포에 악용됨

2 hours ago 2

REF6598 캠페인이 Obsidian 공유 볼트로 PHANTOMPULSE RAT를 배포함
표적은 Windows·macOS 금융·암호화폐 종사자이며 LinkedIn·Telegram으로 유인됨
감염은 공유 볼트에서 커뮤니티 플러그인 동기화를 수동 활성화할 때 시작됨
악성 Shell Commands·Hider 플러그인이 스크립트를 실행하고 PHANTOMPULL이 RAT를 로드함
PHANTOMPULSE는 Ethereum 트랜잭션에서 C2 주소를 확인해 차단이 어려워짐

공격 흐름

초기 접근과 실행
- REF6598 캠페인은 Obsidian 노트 앱을 악용해 이전에 문서화되지 않은 원격 접근 트로이목마(RAT) PHANTOMPULSE를 배포함
- 공격자는 벤처캐피털 관계자로 가장해 전문 네트워킹 사이트에서 표적과 접촉한 뒤, 대화를 비공개 Telegram 그룹으로 옮김
- 협업을 명목으로 클라우드에 호스팅된 공유 Obsidian 볼트 참여를 유도함
- 초기 접근은 MITRE ATT&CK의 T1566.002 Spearphishing Link에 해당함
- 피해자가 Obsidian 안에서 “Installed community plugins” 동기화 기능을 수동으로 활성화하면 감염이 시작됨
- 공유 볼트에는 정상 Obsidian 플러그인인 Shell Commands와 Hider의 악성 버전이 포함되어 있으며, 커뮤니티 플러그인 활성화가 코드 실행으로 이어짐
- 손상된 Shell Commands 플러그인이 악성 스크립트를 실행함
- 사용자 조작을 유도해 악성 파일을 실행하는 단계는 T1204.002 Malicious File에 해당함
Windows와 macOS 감염 단계
- Windows에서는 악성 플러그인이 PowerShell 스크립트를 실행하고, 이 스크립트가 PHANTOMPULL 로더를 드롭함
- macOS에서는 유사한 절차가 AppleScript를 통해 진행됨
- 이후 PHANTOMPULL이 최종 페이로드인 PHANTOMPULSE RAT를 복호화해 실행함
- PHANTOMPULSE는 파일 기반 탐지를 피하기 위해 최종 페이로드를 메모리 안에서 직접 실행하며, 이는 T1055 Process Injection과 연결됨

PHANTOMPULSE 기능과 C2 방식

PHANTOMPULSE는 활성화된 뒤 키 입력 캡처, 스크린샷 촬영, 파일 유출, 임의 명령 실행이 가능함
C2 통신은 T1102.002 Bidirectional Communication에 해당하는 방식으로 구성됨
PHANTOMPULSE는 하드코딩된 지갑 주소의 최신 Ethereum 트랜잭션을 조회함
C2 서버의 IP 주소는 해당 트랜잭션 데이터 안에 포함되어 있으며, 악성코드는 이를 통해 명령을 받을 서버를 확인함
이 방식은 탈중앙화되고 검열에 강한 C2 주소 확인 메커니즘을 제공해 위협 인프라 중단을 어렵게 만듦

영향

감염에 성공하면 공격자는 피해자 시스템에 대한 전체 접근 권한을 얻을 수 있음
금융·암호화폐 분야 종사자는 민감한 기업 데이터, 지식재산, 거래 전략, 암호화폐 지갑 키, 거래소 자격 증명을 탈취당할 수 있음
Windows와 macOS를 모두 겨냥하는 구조라 잠재 피해자 범위가 넓어짐
블록체인 기반 C2 사용은 정교함이 높으며, 위협 인프라 교란을 어렵게 함

탐지 지표

프로세스
- Obsidian.exe
- Obsidian이 powershell.exe, cmd.exe, osascript 같은 자식 프로세스를 생성하는지 모니터링해야 함
명령줄 패턴
- powershell -ExecutionPolicy Bypass
- Obsidian 같은 비표준 애플리케이션에서 시작된 PowerShell 실행은 의심 신호가 됨
네트워크 트래픽
- 예상되지 않는 프로세스에서 Ethereum 블록체인 노드나 게이트웨이로 나가는 연결을 모니터링해야 함
- 이런 연결은 PHANTOMPULSE가 C2 주소를 확인하려는 동작일 수 있음
파일 경로
- [Vault]/.obsidian/plugins/
- 공식 플러그인 마켓플레이스 밖에서 Obsidian 플러그인 디렉터리의 파일이 생성되거나 수정되는지 확인해야 함

탐지와 대응

프로세스 모니터링: Obsidian 프로세스가 powershell.exe, cmd.exe, bash, osascript 같은 명령줄 인터프리터를 실행할 때 탐지·경고하는 EDR 규칙이 필요함
사용자 교육: 고위험 업계 사용자는 소셜 엔지니어링과 공유 볼트·플러그인 같은 협업 도구 기능 악용 위험을 인지해야 함
애플리케이션 제어: 가능한 경우 애플리케이션 제어 정책으로 Obsidian 같은 앱에서 승인되지 않은 커뮤니티 플러그인 설치와 실행을 제한해야 함
네트워크 모니터링: 해당 활동이 예상되지 않는 엔드포인트에서 블록체인 서비스 관련 비정상 DNS 질의나 직접 IP 연결을 감시해야 함

완화 방안

커뮤니티 플러그인 검증: 모든 애플리케이션에서 서드파티 또는 커뮤니티 개발 플러그인을 활성화할 때 각별한 주의가 필요하며, 공식 신뢰 마켓플레이스에서만 설치하고 권한을 검토해야 함
신뢰할 수 없는 볼트의 자동 동기화 비활성화: 알 수 없거나 신뢰할 수 없는 출처의 Obsidian 볼트에 연결할 때 플러그인 동기화를 활성화하지 않아야 함
최소 권한 원칙: Obsidian 같은 애플리케이션은 관리자 권한이 아니라 표준 사용자 권한으로 실행해 침해 영향을 제한해야 함
엔드포인트 보안: 최신 EDR과 안티바이러스 솔루션을 배포해 의심스러운 스크립트 실행과 프로세스 인젝션 기법을 탐지·차단해야 함

MITRE ATT&CK 완화 매핑

User Training
- 사용자가 소셜 엔지니어링 전술을 인식하고 요청하지 않은 협업 초대를 의심하도록 훈련하는 것이 이 공격 벡터의 주요 방어책임
Execution Prevention
- 애플리케이션 제어를 사용해 Obsidian 같은 앱이 PowerShell 등 스크립트를 실행하지 못하게 하면 공격 체인을 끊을 수 있음
- D3FEND 매핑: D3-EAL
Software Configuration
- 서드파티 플러그인 설치를 비활성화하거나 엄격한 승인을 요구하도록 애플리케이션을 구성하면 공격 표면이 줄어듦
- D3FEND 매핑: D3-ACH