C
月内に
攻撃者がObsidianのコミュニティプラグイン「Shell Commands」を悪用し、金融・暗号資産業界の専門家を標的にしたクロスプラットフォーム攻撃を展開…
📌 一言でいうと
攻撃者がObsidianのコミュニティプラグイン「Shell Commands」を悪用し、金融・暗号資産業界の専門家を標的にしたクロスプラットフォーム攻撃を展開しています。LinkedInやTelegramを用いた巧妙なソーシャルエンジニアリングで、攻撃者が制御するクラウド保管庫へ誘導し、プラグインを通じて悪意のあるシェルコマンドを自動実行させます。Windowsでは新型RAT「PHANTOMPULSE」が、macOSでは難読化されたAppleScriptが展開され、機密情報の窃取や遠隔操作が行われます。
🏢影響範囲
金融業界、暗号資産業界の従事者(WindowsおよびmacOSユーザー)
✅該当時の対応
信頼できないソースから提供されたObsidian保管庫(Vault)に接続しないこと。コミュニティプラグインのインストールおよび設定を慎重に確認し、不審なシェルコマンドが設定されていないか検証すること。エンドポイント検出および応答(EDR)ツールを用いて、Obsidianプロセスからの不審な子プロセス(PowerShell等)の起動を監視すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審な外部共有ファイルやツール利用に関するご注意
お疲れさまです。情報システム担当です。
ノートアプリ「Obsidian」において、外部から提供された設定ファイル(保管庫)を開くことで、ウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない相手や、SNS(LinkedInやTelegram等)で知り合った人物から提供されたObsidianの「保管庫(Vault)」や設定ファイルに接続しないでください。
2. 信頼できないソースから提供されたプラグインの導入や、不審な設定の有効化を避けてください。
不審な連絡を受けた場合は、速やかに情報システム部門までご報告ください。
お疲れさまです。情報システム担当です。
ノートアプリ「Obsidian」において、外部から提供された設定ファイル(保管庫)を開くことで、ウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない相手や、SNS(LinkedInやTelegram等)で知り合った人物から提供されたObsidianの「保管庫(Vault)」や設定ファイルに接続しないでください。
2. 信頼できないソースから提供されたプラグインの導入や、不審な設定の有効化を避けてください。
不審な連絡を受けた場合は、速やかに情報システム部門までご報告ください。
Subject: [Security Notice] Caution Regarding External Shared Files and Tools
Hi everyone,
We have received reports of a security threat involving the note-taking app "Obsidian," where opening shared "Vaults" from untrusted sources can lead to malware infections.
How you can help:
1. Do not connect to Obsidian Vaults or configuration files provided by unknown individuals, especially those contacted via social media (e.g., LinkedIn, Telegram).
2. Avoid installing community plugins or enabling settings from untrusted sources.
If you encounter any suspicious requests or files, please report them to the IT security team promptly.
Hi everyone,
We have received reports of a security threat involving the note-taking app "Obsidian," where opening shared "Vaults" from untrusted sources can lead to malware infections.
How you can help:
1. Do not connect to Obsidian Vaults or configuration files provided by unknown individuals, especially those contacted via social media (e.g., LinkedIn, Telegram).
2. Avoid installing community plugins or enabling settings from untrusted sources.
If you encounter any suspicious requests or files, please report them to the IT security team promptly.
件名: 【共有】Obsidian Shell Commandsプラグインを悪用したマルウェア攻撃について
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
Obsidianのコミュニティプラグイン「Shell Commands」を悪用し、保管庫(Vault)の同期機能を通じて悪意のあるシェルコマンドを自動実行させる攻撃(REF6598)が確認されました。Windowsでは新型RAT「PHANTOMPULSE」が、macOSでは難読化されたAppleScriptが展開されます。
■ 影響範囲
- Obsidianを利用し、外部から提供された悪意のある保管庫に接続したユーザー(Windows / macOS)
■ 対応手順
1. EDR等の監視ツールを用いて、Obsidianプロセス(obsidian.exe等)から不審な子プロセス(powershell.exe, apple script等)が起動していないかログを確認してください。
2. ユーザーに対し、信頼できない外部ソースからの保管庫同期やプラグイン導入を禁止する周知を行ってください。
3. 不審な通信先(例: 195.3.222[.]251)への通信を遮断することを検討してください。
■ 参考情報
- Elastic Security Labs 研究報告
対応優先度: 高(速やかな監視体制の確認を推奨)
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
Obsidianのコミュニティプラグイン「Shell Commands」を悪用し、保管庫(Vault)の同期機能を通じて悪意のあるシェルコマンドを自動実行させる攻撃(REF6598)が確認されました。Windowsでは新型RAT「PHANTOMPULSE」が、macOSでは難読化されたAppleScriptが展開されます。
■ 影響範囲
- Obsidianを利用し、外部から提供された悪意のある保管庫に接続したユーザー(Windows / macOS)
■ 対応手順
1. EDR等の監視ツールを用いて、Obsidianプロセス(obsidian.exe等)から不審な子プロセス(powershell.exe, apple script等)が起動していないかログを確認してください。
2. ユーザーに対し、信頼できない外部ソースからの保管庫同期やプラグイン導入を禁止する周知を行ってください。
3. 不審な通信先(例: 195.3.222[.]251)への通信を遮断することを検討してください。
■ 参考情報
- Elastic Security Labs 研究報告
対応優先度: 高(速やかな監視体制の確認を推奨)
Subject: [Security Advisory] Malware Attacks Exploiting Obsidian Shell Commands Plugin
Hi,
This is a security alert regarding a targeted attack campaign (REF6598) exploiting the "Shell Commands" community plugin in Obsidian.
■ Overview
Attackers are using social engineering to lure victims into connecting to a malicious cloud vault. Once connected, the Shell Commands plugin is configured to automatically execute malicious shell commands. This results in the deployment of the "PHANTOMPULSE" RAT on Windows and obfuscated AppleScripts on macOS.
■ Scope
- Users of Obsidian on Windows and macOS who connect to untrusted external vaults.
■ Recommended Actions
1. Monitor EDR logs for suspicious child processes (e.g., PowerShell, AppleScript) spawned by the Obsidian parent process.
2. Issue a warning to employees against syncing vaults or installing plugins from untrusted external sources.
3. Consider blocking traffic to known malicious C2 infrastructure (e.g., 195.3.222[.]251).
■ Reference
- Elastic Security Labs Research
Priority: High (Prompt verification of monitoring logs is recommended)
Hi,
This is a security alert regarding a targeted attack campaign (REF6598) exploiting the "Shell Commands" community plugin in Obsidian.
■ Overview
Attackers are using social engineering to lure victims into connecting to a malicious cloud vault. Once connected, the Shell Commands plugin is configured to automatically execute malicious shell commands. This results in the deployment of the "PHANTOMPULSE" RAT on Windows and obfuscated AppleScripts on macOS.
■ Scope
- Users of Obsidian on Windows and macOS who connect to untrusted external vaults.
■ Recommended Actions
1. Monitor EDR logs for suspicious child processes (e.g., PowerShell, AppleScript) spawned by the Obsidian parent process.
2. Issue a warning to employees against syncing vaults or installing plugins from untrusted external sources.
3. Consider blocking traffic to known malicious C2 infrastructure (e.g., 195.3.222[.]251).
■ Reference
- Elastic Security Labs Research
Priority: High (Prompt verification of monitoring logs is recommended)