Вход

Phantom in the Vault: как злоумышленники используют Obsidian для доставки RAT PhantomPulse

В апреле 2026 года лаборатория безопасности Elastic Security Labs раскрыла изощрённую кампанию социальной инженерии, нацеленную на специалистов финансового и криптовалютного секторов. Злоумышленники злоупотребляют легитимной экосистемой плагинов популярного приложения для ведения заметок Obsidian, чтобы незаметно доставлять вредоносную нагрузку. Кампания, отслеживаемая под идентификатором REF6598, завершается развёртыванием ранее не документированного удалённого трояна (RAT), получившего название PHANTOMPULSE.

⚠️ Ключевой факт: Атака не эксплуатирует уязвимость в коде — она злоупотребляет штатной функциональностью синхронизации плагинов Obsidian, что позволяет обходить традиционные сигнатурные детекторы антивирусов.

🎯 Механика атаки: от первого контакта до выполнения кода

Кампания демонстрирует высокий уровень подготовки и понимания психологии целевой аудитории. Атака разворачивается в несколько тщательно спланированных этапов:

1. Социальная инженерия через профессиональные сети

Злоумышленники действуют под прикрытием венчурной фирмы, инициируя контакт с жертвами через LinkedIn:

  • Первичное общение строится вокруг тем криптовалютной ликвидности и финансовых сервисов
  • После установления доверия диалог переносится в закрытую группу Telegram
  • В группе участвуют несколько «партнёров», что создаёт иллюзию легитимности организации
  • Жертве предлагают использовать Obsidian как «корпоративную базу данных» для доступа к общему дашборду

2. Доставка через облачный хранилище (Vault)

Целевой вектор доступа — облачное хранилище Obsidian, контролируемое злоумышленником:

  1. Жертве предоставляют учётные данные для подключения к удалённому Vault
  2. Пользователя инструктируют включить синхронизацию «сообщественных плагинов» (community plugins)
  3. После включения синхронизации троянизированные плагины Shell Commands и Hider автоматически загружаются на устройство жертвы
  4. Плагин Shell Commands исполняет заранее настроенные системные команды при открытии хранилища

3. Выполнение вредоносной цепочки

После активации плагина запускается многоэтапная цепочка доставки:

  • Stage 1: PowerShell-скрипт загружает промежуточный загрузчик с внешнего сервера
  • Stage 2: Загрузчик PHANTOMPULL расшифровывает и рефлексивно загружает в память финальную нагрузку
  • Final Payload: RAT PHANTOMPULSE устанавливает постоянное соединение с командным сервером
«Самый слабый элемент в любой системе безопасности — это человек. Технологии могут быть безупречны, но достаточно одной правильной приманки, чтобы всё рухнуло», — Кевин Митник, эксперт по кибербезопасности.

💀 PHANTOMPULSE: анатомия нового удалённого трояна

PHANTOMPULSE представляет собой полнофункциональный бэкдор для Windows с рядом уникальных особенностей:

Признаки ИИ-генерации кода

Анализ бинарного файла выявляет характерные маркеры использования больших языковых моделей при разработке:

  • Чрезмерно подробные отладочные строки с нумерацией шагов: [STEP 1], [STEP 1/3]
  • Структурированные комментарии, напоминающие документацию из учебников
  • Избыточная самодокументируемость кода, нетипичная для ручной разработки малвари

Децентрализованное управление через блокчейн

Одна из самых инновационных особенностей PHANTOMPULSE — использование публичного блокчейна для разрешения адресов командных серверов (C2):

  • Вредонос опрашивает API Blockscout для трёх сетей: Ethereum, Base и Optimism
  • Извлекает данные из поля input последней транзакции жёстко закодированного кошелька (0xc117688c530b660e15085bF3A2B664117d8672aA)
  • Декодирует данные через XOR с адресом кошелька в качестве ключа
  • Если результат начинается с http — принимает его как новый адрес C2

Это обеспечивает операторам инфраструктурно-независимую ротацию: для смены адреса достаточно отправить транзакцию с закодированными данными в любой из трёх сетей.

🔍 Уязвимость дизайна: Вредонос не проверяет отправителя транзакции. Любой, кто знает адрес кошелька и ключ шифрования (оба извлекаются из бинарника), может отправить конкурирующую транзакцию и перехватить управление всеми заражёнными хостами.

Функциональные возможности RAT

PHANTOMPULSE поддерживает широкий спектр команд для удалённого контроля:

Команда Действие
inject Инъекция шеллкода или DLL в целевой процесс
drop Сброс файла на диск и его выполнение
screenshot Создание и загрузка скриншота экрана
keylog Запуск или остановка кейлоггера
uninstall Полное удаление персистентности и очистка следов
elevate Повышение привилегий до SYSTEM через COM elevation
downgrade Переход от SYSTEM к elevated admin

Телеметрия и сбор данных

При каждом «сердцебиении» вредонос отправляет на C2 исчерпывающую информацию о системе:

  • Модели CPU и GPU, объём оперативной памяти
  • Версия ОС, имя пользователя, уровень привилегий
  • Публичный IP-адрес, установленные антивирусы
  • Список установленных приложений, результаты последней команды

🍎 macOS-ветка атаки: AppleScript и Telegram-резерв

Атака кросс-платформенна: для macOS реализована отдельная цепочка доставки:

Этап 1: AppleScript через osascript

Плагин Shell Commands исполняет Base64-кодированный payload через системную утилиту osascript:

  • Создаётся LaunchAgent для персистентности: ~/Library/LaunchAgents/com.vfrfeufhtjpwgray.plist
  • Агент настроен на автозапуск при входе и перезагрузке
  • Запускается обфусцированный AppleScript-дроппер второго этапа

Этап 2: Обфусцированный дроппер

Дроппер использует несколько техник уклонения от анализа:

  • Обфускация строк: чувствительные данные собираются из ASCII-кодов и character ID
  • Декон-переменные: множество неиспользуемых переменных для увеличения энтропии
  • Фрагментированная конкатенация: строки разбиваются между разными методами кодирования

Резервное разрешение C2 через Telegram

Если основные домены недоступны, дроппер обращается к публичному каналу Telegram:

  1. Скрапит контент канала t[.]me/ax03bot
  2. Извлекает резервный домен из опубликованных сообщений
  3. Использует его как fallback для загрузки следующей стадии

Эта техника «dead drop» через Telegram позволяет операторам ротировать инфраструктуру без регистрации новых доменов.

«Безопасность — это не продукт, а процесс. Нельзя один раз настроить защиту и забыть о ней. Угрозы эволюционируют, и защита должна эволюционировать вместе с ними», — Брюс Шнайер, криптограф.

🔍 Анализ инфраструктуры: от хостинга до блокчейна

Расследование Elastic Security Labs позволило восстановить ключевые элементы инфраструктуры злоумышленников:

Кошелёк для C2-ротации

  • Адрес: 0xc117688c530b660e15085bF3A2B664117d8672aA
  • Активность: первые транзакции зафиксированы 12 февраля 2026 года
  • Финансирование: кошелёк пополнен с адреса 0x38796B8479fDAE0A72e5E7e326c87a637D0Cbc0E на сумму ~$5.84
  • История C2: в данных транзакций зафиксированы адреса panel.fefea22134[.]net и Cloudflare Tunnel trycloudflare[.]com

Серверы доставки и управления

  • Staging server: 195.3.222[.]251 (хостинг в Польше, AS 201814 MEVSPACE)
  • C2 панель: panel.fefea22134[.]net за Cloudflare proxy
  • macOS домен: 0x666[.]info с поддельным Chrome User-Agent

Сертификаты и временные метки

  • SSL-сертификат Let's Encrypt для C2-домена выдан 19 февраля 2026 года
  • Дата выдачи совпадает с последней транзакцией, кодирующей этот адрес в блокчейне
  • Это указывает на скоординированное развёртывание инфраструктуры

💡 Практический вывод: Использование Cloudflare Tunnel и публичных блокчейнов для C2 усложняет блокировку по доменам или IP, требуя поведенческого анализа и детекции аномальных паттернов.

🛡️ Индикаторы компрометации и методы детекции

Для обнаружения активности, связанной с кампанией REF6598, рекомендуется мониторить следующие признаки:

Поведенческие индикаторы

  • Запуск PowerShell или AppleScript с Obsidian в качестве родительского процесса
  • Создание файлов в директории .obsidian/plugins/obsidian-shellcommands/
  • HTTP-запросы к доменам с подозрительными путями: /stuk-phase, /v1/updates/check
  • Использование BitsTransfer для загрузки исполняемых файлов из ненадёжных источников
  • Рефлексивная загрузка PE-файлов в память без сохранения на диск

Сетевые индикаторы

  • Запросы к блокчейн-эксплорерам (Blockscout) с параметрами module=account&action=txlist
  • POST-запросы с телом check к неизвестным доменам
  • Трафик с поддельным Chrome User-Agent от нестандартных процессов

Хэши образцов (SHA-256)

  • 70bbb38b70fd836d66e8166ec27be9aa8535b3876596fc80c45e3de4ce327980 — загрузчик PHANTOMPULL
  • 33dacf9f854f636216e5062ca252df8e5bed652efd78b86512f5b868b11ee70f — финальный RAT PHANTOMPULSE

YARA-правила от Elastic Security

Лаборатория опубликовала правила для детекции компонентов атаки. Пример для PHANTOMPULL:

rule Windows_Trojan_PhantomPull {
    meta:
        author = "Elastic Security"
        family = "PhantomPull"
    strings:
        $djb2 = { 45 8B 0C 83 41 BA A7 C6 67 4E 49 01 C9 }
        $url = "/v1/updates/check?build=payloads" ascii
    condition:
        2 of them
}

🌐 Контекст: почему легитимные приложения становятся векторами атак

Кампания REF6598 иллюстрирует растущий тренд в киберпреступности:

  • Living-off-the-Land: злоумышленники всё чаще используют штатные функции доверенных приложений вместо эксплуатации уязвимостей
  • Обход сигнатур: вредоносный код живёт в конфигурационных JSON-файлах, которые не детектируются традиционными антивирусами
  • Доверенный родительский процесс: выполнение кода через подписанный бинарник (Obsidian) усложняет поведенческий анализ
  • Кросс-платформенность: одна кампания атакует и Windows, и macOS, расширяя поверхность поражения

Для криптовалютного сектора риски особенно высоки: компрометация рабочего места финансового специалиста может привести к утечке приватных ключей, доступу к торговым терминалам или манипуляциям с корпоративными кошельками.

«В мире криптовалют ваша безопасность — это ваша ответственность. Нет службы поддержки, которая вернёт средства после компрометации рабочего места», — Андреас Антонопулос, эксперт по биткоину.

🔐 Практические рекомендации для защиты

Организациям и пользователям в финансовом и крипто-секторах рекомендуется:

Для ИТ-администраторов и специалистов безопасности

  1. Мониторинг родительских процессов: настройте алерты на запуск скриптовых интерпретаторов (PowerShell, osascript) из приложений типа Obsidian, VS Code, Slack
  2. Политики плагинов: ограничьте установку сторонних плагинов в корпоративных средах, используйте allow-list для доверенных расширений
  3. Сетевой контроль: блокируйте исходящие соединения к неизвестным доменам с подозрительными путями и параметрами
  4. EDR-решения: внедряйте поведенческий анализ для детекции рефлексивной загрузки кода и аномальных вызовов API

Для конечных пользователей

  1. Критическая оценка запросов: не подключайтесь к облачным хранилищам, предоставленным неизвестными контрагентами, особенно с инструкциями по включению плагинов
  2. Проверка источников: верифицируйте легитимность организаций через официальные реестры и независимые источники
  3. Изоляция сред: используйте отдельные устройства или виртуальные машины для работы с непроверенными контрагентами
  4. Обновление ПО: регулярно обновляйте приложения и плагины, чтобы получать исправления безопасности

Для разработчиков приложений

  1. Принцип минимальных привилегий: плагины должны запрашивать только необходимые разрешения, а не полный доступ к системе
  2. Явное подтверждение действий: опасные операции (вызов shell-команд) должны требовать явного согласия пользователя
  3. Аудит конфигураций: предоставляйте инструменты для проверки и валидации синхронизируемых настроек
  4. Песочницы для плагинов: исполняйте код плагинов в изолированных средах с ограниченным доступом к ресурсам

🔮 Будущее: эволюция атак через легитимные приложения

Эксперты прогнозируют дальнейшее развитие данного вектора угроз:

  • Расширение целевых приложений: атаки через VS Code, Notion, Figma и другие инструменты разработчиков и дизайнеров
  • ИИ-генерация вредоносов: использование языковых моделей для быстрого создания полиморфных вредоносных модулей
  • Децентрализованная инфраструктура: рост использования блокчейнов, IPFS и P2P-сетей для управления ботнетами
  • Целевые атаки на крипто-инфраструктуру: специализированные малвари для кражи приватных ключей, подмены адресов и манипуляций с транзакциями

Ответ индустрии безопасности должен быть пропорционален: переход от сигнатурного анализа к поведенческому, от периметровой защиты к нулевому доверию (Zero Trust), от реактивного реагирования к проактивному хантингу.

«Инновации в безопасности должны опережать инновации в атаках. Это гонка, в которой нельзя останавливаться», — Виталик Бутерин, сооснователь Ethereum.

✨ Заключение: бдительность в эпоху доверенных инструментов

Кампания REF6598 — не просто очередной инцидент безопасности, а сигнал о фундаментальном сдвиге в тактике злоумышленников. Когда атаки строятся не на эксплуатации багов, а на злоупотреблении легитимными функциями, традиционные подходы к защите теряют эффективность.

Для криптовалютного сектора уроки особенно актуальны: компрометация рабочего места через, казалось бы, безобидное приложение для заметок может привести к потере миллионов. В мире, где приватный ключ — это абсолютный контроль, а транзакции необратимы, профилактика и проактивная защита становятся критически важными.

🎯 Главный принцип: В эпоху, когда любой доверенный инструмент может стать вектором атаки, безопасность строится не на запретах, а на понимании, мониторинге и быстром реагировании. Доверяй, но верифицируй — каждый плагин, каждый запрос, каждое подключение.

Пока злоумышленники продолжают искать новые способы обхода защиты, ответственность за безопасность распределяется между разработчиками приложений, специалистами по защите и конечными пользователями. И в этой непрерывной эволюции побеждают те, кто видит не только угрозы, но и возможности сделать системы устойчивее, прозрачнее и надёжнее.

«Безопасность — это не состояние, а процесс. Каждая уязвимость — это урок, который делает систему сильнее», — Брюс Шнайер, эксперт по кибербезопасности.
18.04.2026, 01:31
Новости