B
今週中
金融および暗号資産セクターを標的とした、Obsidianプラグインを悪用する新しい攻撃キャンペーン
📌 一言でいうと
金融および暗号資産セクターを標的とした、Obsidianプラグインを悪用する新しい攻撃キャンペーンが確認されました。攻撃者はLinkedInやTelegramでベンチャーキャピタルを装い、標的に悪意のあるObsidianプラグインをインストールさせてPHANTOMPULSE RATを配布します。この手法により、WindowsおよびmacOSシステムへの初期アクセスを試みています。
🏢影響範囲
金融セクター、暗号資産関連組織、およびそれらに従事する個人(Windows/macOSユーザー)
✅該当時の対応
信頼できないソースからのObsidianプラグインのインストールを禁止し、LinkedInやTelegram経由の不審な連絡に注意してください。また、エンドポイントでの不審なプロセスの監視を強化してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審な連絡および外部プラグインのインストールについて
お疲れさまです。情報システム担当です。
現在、LinkedInやTelegramなどのSNSを通じて、ベンチャーキャピタルなどを装い、ノートアプリ「Obsidian」の悪意あるプラグインをインストールさせようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない相手からLinkedInやTelegramで送られてきたリンクやファイルの開封を控えること
2. Obsidianなどのアプリケーションにおいて、信頼できないソースからのプラグイン導入を絶対に行わないこと
不審な連絡を受けた場合は、速やかに情報システム担当まで報告してください。お早めにご注意いただけますようお願いいたします。
お疲れさまです。情報システム担当です。
現在、LinkedInやTelegramなどのSNSを通じて、ベンチャーキャピタルなどを装い、ノートアプリ「Obsidian」の悪意あるプラグインをインストールさせようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない相手からLinkedInやTelegramで送られてきたリンクやファイルの開封を控えること
2. Obsidianなどのアプリケーションにおいて、信頼できないソースからのプラグイン導入を絶対に行わないこと
不審な連絡を受けた場合は、速やかに情報システム担当まで報告してください。お早めにご注意いただけますようお願いいたします。
Subject: [Security Notice] Beware of Suspicious Contacts and Third-Party Plugins
Hi everyone,
Our security team has identified a new social engineering campaign where attackers pose as venture capital firms on LinkedIn and Telegram to trick users into installing malicious plugins for the note-taking app "Obsidian."
How you can help:
1. Be cautious of messages from unknown individuals on LinkedIn or Telegram and avoid clicking suspicious links.
2. Do not install plugins or extensions for Obsidian (or any other software) from untrusted or unofficial sources.
If you encounter any suspicious activity, please report it to the IT department promptly. We appreciate your cooperation in keeping our environment secure.
Hi everyone,
Our security team has identified a new social engineering campaign where attackers pose as venture capital firms on LinkedIn and Telegram to trick users into installing malicious plugins for the note-taking app "Obsidian."
How you can help:
1. Be cautious of messages from unknown individuals on LinkedIn or Telegram and avoid clicking suspicious links.
2. Do not install plugins or extensions for Obsidian (or any other software) from untrusted or unofficial sources.
If you encounter any suspicious activity, please report it to the IT department promptly. We appreciate your cooperation in keeping our environment secure.
件名: 【共有】Obsidianプラグインを悪用したPHANTOMPULSE RATの配布について
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
攻撃グループ「REF6598」が、Obsidianのプラグイン機能を悪用してWindows向けリモートアクセスツール(RAT)である「PHANTOMPULSE」を配布するキャンペーンが確認されました。LinkedInやTelegramで接触し、クラウド上の共有Vaultへ誘導して悪意あるプラグインをインストールさせる巧妙なソーシャルエンジニアリングが用いられています。
■ 影響範囲
- Obsidianを利用しているWindowsおよびmacOSユーザー
- 特に金融・暗号資産セクターに従事するユーザー
■ 対応手順
1. エンドポイントにおいて、Obsidianプロセスから不審な子プロセスが生成されていないか監視を強化する
2. 信頼できないサードパーティ製プラグインのインストールを制限するポリシーの検討
3. ユーザーに対し、SNS経由の不審なファイル共有への注意喚起を実施する
■ 参考情報
- Elastic Security Labs (REF6598 analysis)
対応優先度: 高(速やかな注意喚起と監視の強化を推奨)
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
攻撃グループ「REF6598」が、Obsidianのプラグイン機能を悪用してWindows向けリモートアクセスツール(RAT)である「PHANTOMPULSE」を配布するキャンペーンが確認されました。LinkedInやTelegramで接触し、クラウド上の共有Vaultへ誘導して悪意あるプラグインをインストールさせる巧妙なソーシャルエンジニアリングが用いられています。
■ 影響範囲
- Obsidianを利用しているWindowsおよびmacOSユーザー
- 特に金融・暗号資産セクターに従事するユーザー
■ 対応手順
1. エンドポイントにおいて、Obsidianプロセスから不審な子プロセスが生成されていないか監視を強化する
2. 信頼できないサードパーティ製プラグインのインストールを制限するポリシーの検討
3. ユーザーに対し、SNS経由の不審なファイル共有への注意喚起を実施する
■ 参考情報
- Elastic Security Labs (REF6598 analysis)
対応優先度: 高(速やかな注意喚起と監視の強化を推奨)
Subject: [Security Advisory] PHANTOMPULSE RAT Distribution via Obsidian Plugins
Hi all,
This is a security update regarding a targeted campaign utilizing the Obsidian note-taking application.
■ Overview
Threat actor REF6598 is leveraging social engineering via LinkedIn and Telegram to distribute a novel Windows RAT called "PHANTOMPULSE." The attack lures targets into connecting to a cloud-hosted Obsidian vault, which then prompts the installation of a malicious plugin to gain initial access to Windows and macOS systems.
■ Scope
- Users of Obsidian on Windows and macOS
- Specifically targeting the finance and cryptocurrency sectors
■ Recommended Actions
1. Enhance endpoint monitoring for suspicious child processes spawned by the Obsidian application.
2. Evaluate policies to restrict the installation of unverified third-party plugins.
3. Issue a security awareness alert to employees regarding suspicious professional networking contacts.
■ Reference
- Elastic Security Labs (REF6598 analysis)
Priority: High (Prompt monitoring and user awareness are recommended)
Hi all,
This is a security update regarding a targeted campaign utilizing the Obsidian note-taking application.
■ Overview
Threat actor REF6598 is leveraging social engineering via LinkedIn and Telegram to distribute a novel Windows RAT called "PHANTOMPULSE." The attack lures targets into connecting to a cloud-hosted Obsidian vault, which then prompts the installation of a malicious plugin to gain initial access to Windows and macOS systems.
■ Scope
- Users of Obsidian on Windows and macOS
- Specifically targeting the finance and cryptocurrency sectors
■ Recommended Actions
1. Enhance endpoint monitoring for suspicious child processes spawned by the Obsidian application.
2. Evaluate policies to restrict the installation of unverified third-party plugins.
3. Issue a security awareness alert to employees regarding suspicious professional networking contacts.
■ Reference
- Elastic Security Labs (REF6598 analysis)
Priority: High (Prompt monitoring and user awareness are recommended)