Plugin Obsidian Disalahgunakan untuk Menyebarkan Trojan Akses Jarak Jauh

 (cyber.netsecops.io)
1 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Kampanye REF6598 menyebarkan RAT PHANTOMPULSE melalui vault bersama Obsidian
  • Targetnya adalah pekerja sektor keuangan dan kripto di Windows dan macOS, yang dipancing melalui LinkedIn dan Telegram
  • Infeksi dimulai saat sinkronisasi plugin komunitas diaktifkan secara manual dari vault bersama
  • Plugin Shell Commands dan Hider yang berbahaya menjalankan skrip, lalu PHANTOMPULL memuat RAT tersebut
  • PHANTOMPULSE memeriksa alamat C2 dari transaksi Ethereum, sehingga lebih sulit diblokir

Alur serangan

  • Akses awal dan eksekusi

    • Kampanye REF6598 menyalahgunakan aplikasi catatan Obsidian untuk menyebarkan trojan akses jarak jauh (RAT) PHANTOMPULSE yang sebelumnya belum terdokumentasi
    • Penyerang menyamar sebagai pihak venture capital, menghubungi target di situs jejaring profesional, lalu memindahkan percakapan ke grup Telegram privat
    • Dengan dalih kolaborasi, korban diarahkan untuk bergabung ke vault Obsidian bersama yang di-host di cloud
    • Akses awal ini sesuai dengan MITRE ATT&CK T1566.002 Spearphishing Link
    • Infeksi dimulai ketika korban secara manual mengaktifkan fitur sinkronisasi “Installed community plugins” di dalam Obsidian
    • Vault bersama tersebut berisi versi berbahaya dari plugin Obsidian yang sah, yaitu Shell Commands dan Hider, dan pengaktifan plugin komunitas memicu eksekusi kode
    • Plugin Shell Commands yang telah dikompromikan menjalankan skrip berbahaya
    • Tahap yang mendorong interaksi pengguna agar menjalankan file berbahaya ini sesuai dengan T1204.002 Malicious File

  • Tahap infeksi Windows dan macOS

    • Di Windows, plugin berbahaya tersebut menjalankan skrip PowerShell, dan skrip ini menjatuhkan loader PHANTOMPULL
    • Di macOS, prosedur serupa dilakukan melalui AppleScript
    • Setelah itu, PHANTOMPULL mendekripsi dan mengeksekusi payload akhir berupa RAT PHANTOMPULSE
    • Untuk menghindari deteksi berbasis file, PHANTOMPULSE menjalankan payload akhirnya langsung di memori, yang terkait dengan T1055 Process Injection

Kemampuan PHANTOMPULSE dan metode C2

  • Setelah aktif, PHANTOMPULSE dapat menangkap penekanan tombol, mengambil tangkapan layar, mengekfiltrasi file, dan menjalankan perintah arbitrer
  • Komunikasi C2 disusun dengan metode yang sesuai dengan T1102.002 Bidirectional Communication
  • PHANTOMPULSE mengambil transaksi Ethereum terbaru dari alamat dompet yang sudah di-hardcode
  • Alamat IP server C2 disisipkan di dalam data transaksi tersebut, dan malware menggunakannya untuk mengetahui server penerima perintah
  • Metode ini menyediakan mekanisme penemuan alamat C2 yang terdesentralisasi dan tahan sensor, sehingga infrastruktur ancaman lebih sulit dilumpuhkan

Dampak

  • Jika infeksi berhasil, penyerang dapat memperoleh akses penuh ke sistem korban
  • Pekerja di sektor keuangan dan kripto berisiko kehilangan data perusahaan sensitif, kekayaan intelektual, strategi perdagangan, kunci dompet kripto, dan kredensial bursa
  • Karena strukturnya menargetkan Windows dan macOS sekaligus, cakupan calon korban menjadi lebih luas
  • Penggunaan C2 berbasis blockchain menunjukkan tingkat kecanggihan yang tinggi dan mempersulit gangguan terhadap infrastruktur ancaman

Indikator deteksi

  • Proses

    • Obsidian.exe
    • Perlu memantau apakah Obsidian membuat proses turunan seperti powershell.exe, cmd.exe, atau osascript

  • Pola command line

    • powershell -ExecutionPolicy Bypass
    • Eksekusi PowerShell yang dimulai dari aplikasi tidak lazim seperti Obsidian merupakan sinyal mencurigakan

  • Lalu lintas jaringan

    • Perlu memantau koneksi keluar ke node atau gateway blockchain Ethereum dari proses yang tidak diharapkan
    • Koneksi seperti ini bisa menandakan PHANTOMPULSE sedang mencoba menemukan alamat C2

  • Jalur file

    • [Vault]/.obsidian/plugins/
    • Perlu memeriksa apakah ada file yang dibuat atau diubah di direktori plugin Obsidian di luar marketplace plugin resmi

Deteksi dan respons

  • Pemantauan proses: Diperlukan aturan EDR yang mendeteksi dan memberi peringatan ketika proses Obsidian menjalankan interpreter command line seperti powershell.exe, cmd.exe, bash, atau osascript
  • Edukasi pengguna: Pengguna di industri berisiko tinggi perlu memahami risiko social engineering dan penyalahgunaan fitur alat kolaborasi seperti vault bersama dan plugin
  • Kontrol aplikasi: Jika memungkinkan, kebijakan kontrol aplikasi perlu membatasi pemasangan dan eksekusi plugin komunitas yang tidak disetujui dari aplikasi seperti Obsidian
  • Pemantauan jaringan: Perlu mengawasi kueri DNS abnormal terkait layanan blockchain atau koneksi IP langsung dari endpoint yang tidak semestinya menjalankan aktivitas tersebut

Langkah mitigasi

  • Verifikasi plugin komunitas: Perlu sangat berhati-hati saat mengaktifkan plugin buatan pihak ketiga atau komunitas di aplikasi apa pun; instal hanya dari marketplace resmi tepercaya dan tinjau izinnya
  • Nonaktifkan sinkronisasi otomatis untuk vault yang tidak tepercaya: Saat terhubung ke vault Obsidian dari sumber yang tidak dikenal atau tidak tepercaya, jangan aktifkan sinkronisasi plugin
  • Prinsip least privilege: Aplikasi seperti Obsidian sebaiknya dijalankan dengan hak pengguna standar, bukan hak administrator, untuk membatasi dampak kompromi
  • Keamanan endpoint: Terapkan solusi EDR dan antivirus terbaru untuk mendeteksi serta memblokir eksekusi skrip mencurigakan dan teknik process injection

Pemetaan mitigasi MITRE ATT&CK

  • User Training
    • Melatih pengguna agar mengenali taktik social engineering dan mencurigai undangan kolaborasi yang tidak diminta merupakan pertahanan utama terhadap vektor serangan ini
  • Execution Prevention
    • Menggunakan kontrol aplikasi untuk mencegah aplikasi seperti Obsidian menjalankan skrip seperti PowerShell dapat memutus rantai serangan
    • Pemetaan D3FEND: D3-EAL
  • Software Configuration
    • Mengonfigurasi aplikasi agar menonaktifkan pemasangan plugin pihak ketiga atau mewajibkan persetujuan ketat dapat mengurangi permukaan serangan
    • Pemetaan D3FEND: D3-ACH

Referensi

Bacaan terkait

1 komentar

 
GN⁺ 4 jam lalu
Komentar Hacker News

  • Saya CEO Obsidian. Pembaruan besar terkait keamanan plugin akan segera hadir, dan saya rasa itu bisa meredakan banyak kekhawatiran yang muncul di thread ini
    Ini masalah yang sulit, tetapi sedang kami kerjakan. Meski begitu, judulnya menyesatkan. Tulisan ini membahas serangan rekayasa sosial yang mengharuskan pengguna menolak sendiri berbagai peringatan keamanan Obsidian, dan setahu saya ini masih sebatas proof of concept, serta saya belum melihat laporan korban nyata

    • Saya sudah bilang selama beberapa tahun bahwa plugin itu tidak aman. Saya masih ingat jelas diserang di Discord setelah mengatakan plugin memiliki akses penuh ke seluruh disk. Sudah terlambat
    • Jadi sekarang meskipun plugin diaktifkan, apakah akan ada opsi untuk memindahkan folder .obsidian ke luar vault, dan secara default mengabaikan folder itu di dalam vault?
    • Saya tidak tahu seberapa sulitnya, tetapi menambahkan dialog izin seperti di Android tampaknya akan sangat membantu. 99% plugin Obsidian tidak membutuhkan akses penuh ke disk maupun akses internet
    • Membuka source code klien juga akan meredakan banyak kekhawatiran
    • Maksud dari “secara aktif menolak berbagai peringatan keamanan” itu popup semacam itu? Kebanyakan orang menyetujui hal seperti itu tanpa banyak berpikir
      Menurut saya plugin/ekstensi pada dasarnya harus dibuat sedikit lebih sulit untuk dijalankan. Saya paham hambatan tambahan sebelum memakai plugin menimbulkan gesekan bagi pengguna, tetapi saya rasa memang tidak ada cara untuk menjalankan kode arbitrer yang tidak ditinjau dengan aman tanpa sandbox atau pembatasan lain

  • Ini judul yang menyesatkan. Judulnya membuat seolah-olah plugin normal telah dibajak untuk menyebarkan malware dalam serangan supply chain lainnya
    Padahal sebenarnya korban diundang ke kolaborasi vault yang disinkronkan, dan di dalam vault itu sudah ada plugin tidak resmi yang mengantarkan RAT. Itu cerita yang sama sekali berbeda

    • Bagian mana yang menyesatkan?
      Tertulis “Novel Campaign Abuses Obsidian Note-Taking App to Target Finance and Crypto Professionals with PHANTOMPULSE RAT”. Itu memang serangan baru, menyalahgunakan Obsidian, menargetkan kelompok tertentu, dan RAT ada di dalam vault, jadi menurut saya itu phrasing yang tepat

  • Saya sangat suka Obsidian dan memakainya setiap hari, tetapi saya tidak menggunakan plugin komunitas karena sistem izinnya tidak memadai
    Saya berharap suatu hari plugin harus mendeklarasikan izin yang dibutuhkan, dan itu ditampilkan kepada pengguna. Saya yakin tim Obsidian akan menanggapi masalah ini dengan serius, dan saya menantikan apa yang akan mereka keluarkan. Saya percaya pada mereka, tetapi tetap mengejutkan bahwa ini sejak awal dirancang tanpa sistem izin dan sandbox yang lebih baik

    • Saya mulai memakai Obsidian karena bosan menggunakan VS Code untuk melihat file Markdown. Syukurlah saya tidak perlu memasang plugin. Dari luar, bagian ini tampak sebagai desain yang cukup buruk

  • “Korban diminta menyalakan fitur sinkronisasi ‘Installed community plugins’”
    Obsidian memang punya perlindungan untuk mencegah serangan seperti ini, dan korban dibujuk untuk mengabaikannya. Ini hanya insiden rekayasa sosial yang berhasil. Serangan ini tidak mengeksploitasi kerentanan di Obsidian atau sistem pluginnya, jadi saya tidak suka melihat Obsidian ikut diseret jatuh karena judul seperti ini

    • Saya tidak setuju. https://obsidian.md/help/plugin-security#Plugin+capabilities
      “Karena keterbatasan teknis, Obsidian tidak dapat secara andal membatasi plugin ke izin atau tingkat akses tertentu. Karena itu, plugin mewarisi tingkat akses Obsidian.”
      Plugin komunitas dapat mengakses file di komputer, terhubung ke internet, dan bahkan memasang program tambahan. Obsidian sama sekali tidak punya perlindungan, dan memasang plugin berarti memberi akses penuh ke komputer. Ini hanya soal waktu, dan menurut saya sejak sekitar 2010 meluncurkan sistem plugin seperti ini sudah merupakan kelalaian yang tidak bisa dibela
    • Saya banyak memakai dan menyukai Obsidian, tetapi menurut saya nilai dari pengungkapan ini adalah menyebarkan kesadaran tentang plugin dan menunjukkan jalur serangan
      Pengguna yang kurang berpengalaman bisa saja berpikir, “Ini cuma kumpulan file Markdown. Mungkin saya tidak perlu terlalu khawatir soal malware”

  • Kenapa hampir semua sistem plugin dirancang selemah ini? Saya penasaran apakah karena tidak ada framework pengembangan plugin yang bagus yang menyediakan isolasi/izin dengan benar sehingga pekerjaannya jadi terlalu banyak, atau karena orang tidak tahu luas apa yang dibutuhkan lalu baru belajar setelah sistem mereka disalahgunakan. Atau keduanya, atau ada alasan lain?

    • Pada intinya ada trade-off antara fungsionalitas dan keamanan. Anda bisa memberi pengguna kemampuan besar untuk melakukan hal-hal keren, atau menghapus sebagian besar kemampuan yang berarti demi membuatnya aman. Kebanyakan orang biasanya lebih memilih fungsionalitas daripada keamanan
      Masalah lainnya, keamanan itu sulit, sedangkan memberi akses umum dan menambahkan penjaga dasar itu mudah
    • Anda harus mendefinisikan framework keamanan dan komponen yang akan dibutuhkan semua plugin, lalu meluangkan waktu untuk merancang, mengimplementasikan, memverifikasi, dan memeliharanya
      Jauh lebih mudah untuk melewati bagian itu saja. Jadi ya, memang pekerjaannya terlalu banyak, dan lebih tepatnya dibutuhkan kepemimpinan yang berfokus pada keamanan untuk memahami bahwa ini banyak kerja, tetapi kerja yang benar
    • Dugaan saya karena kurangnya sumber daya untuk merancang web stack dan antarmuka yang tepat. Perangkat lunak seperti ini ditulis dengan framework JS tingkat tinggi, sehingga pola aliran datanya pada dasarnya buruk, dan sering kali hanya mengikuti apa yang secara praktis bisa dilakukan alih-alih desain yang disengaja
      Untuk merancangnya secara sengaja, mungkin Anda harus turun ke lapisan abstraksi yang lebih rendah dan memelihara custom fork dari framework terkait. Jadi kemungkinan plugin dirancang seperti menginstansiasi library dengan memberikan sebagian konteks yang dipakai aplikasi. Pada akhirnya itu cara paling sederhana yang tetap berjalan. Peretasan yang dipublikasikan ini tidak membicarakan “kerentanan” tertentu, tetapi plugin Obsidian memang selalu berjalan dalam mode dewa, dan penyerang hanya menipu orang agar memakainya. Lucu juga pada akhirnya menyalahkan pengguna ketika pada dasarnya remote code execution menunggu di balik beberapa popup. Para pengembang seharusnya malu
    • Bahkan plugin browser Chrome pun punya masalah keamanan serupa. Padahal miliaran dolar dan banyak pengembang sangat pintar sudah dicurahkan ke sana
      Ini mirip seperti membuat app store di dalam aplikasi. Apple App Store mengurangi aplikasi jahat dengan sangat ketat membatasi siapa yang boleh memublikasikan apa, dan juga menambahkan hambatan berbayar
    • Kenapa sistem plugin harus langsung diasumsikan berarti sandbox?

  • Walaupun ini rekayasa sosial, jika desain sistem pluginnya memungkinkan hal seperti ini, maka platform ini sama sekali tidak layak sebagai alat berbagi
    Ini bagus untuk diketahui, tetapi bagi saya ini bukan soal “kalau memakai vault Obsidian bersama, Anda harus menjaga pengaturan ini tetap benar”, melainkan lebih ke “jangan pernah menerima vault Obsidian bersama, dan mintalah ekspor teks biasa saja”

  • Saat pertama kali mulai memakai Obsidian, video-video YouTube yang saya tonton menganjurkan penggunaan plugin komunitas. Walaupun ada peringatan seperti ini, saya mungkin tetap akan menyalakan plugin komunitas
    Pengembang plugin yang awalnya berniat baik bisa saja berubah jahat di kemudian hari, dan pengguna tidak akan tahu. Saya ini pengembang dan tahu risiko seperti ini, tetapi saya rasa saya tetap akan menyalakan opsi plugin komunitas, jadi mungkin toleransi risiko saya memang tinggi. Semoga saya minoritas dan itu bukan perilaku mayoritas pengguna

  • Hal seperti ini mulai menyebar seperti semacam epidemi kecil. Tidak semua serangan atau eksploit, terutama serangan rekayasa sosial, perlu punya nama ala Metal Gear atau situs web sendiri

  • Jika membaca isinya, masalahnya tidak dimulai dari plugin di store Obsidian, melainkan dari vault berbahaya yang pengguna dibujuk untuk buka

  • Saya menjalankan Obsidian dengan izin terbatas. Tanpa akses jaringan, tanpa akses filesystem di luar direktorinya sendiri
    Saya hanya menyalakan akses jaringan saat memperbarui plugin/tema. Aplikasi lain yang bisa menjalankan kode tak tepercaya juga saya jalankan dengan cara yang sama

    • Bisa bagikan bagaimana Anda melakukan sandboxing?