Obsidian 플러그인 악용한 고급 RAT 공격...암호화폐 전문가 표적, 블록체인 기반 C2 서버로 추적 회피

[한국정보기술신문] 사이버 위협 그룹 REF6598이 노트 애플리케이션 Obsidian을 악용해 금융 및 암호화폐 전문가를 대상으로 정교한 공격 캠페인을 진행 중인 것으로 드러났다. 이번 공격은 합법적인 플러그인을 손상시켜 원격 접근 트로잔을 배포하는 방식으로 진행되고 있다.

공격 시작은 링크드인과 텔레그램에서 벤처캐피탈리스트로 신분을 위장하는 것부터 시작된다. 피해 대상자들에게 신뢰성 높은 메시지를 통해 접근하며 Obsidian의 커뮤니티 플러그인 동기화 기능을 활성화하도록 유도한다. 이는 사용자가 의심하지 않도록 하는 매우 정교한 사회공학 기법이다.

Shell Commands와 Hider라는 정당한 플러그인의 손상된 버전이 배포되며, 이를 설치한 사용자의 시스템에서 Phantom Pulse RAT이 메모리에 직접 주입된다. 메모리 주입 방식을 사용하므로 디스크에 흔적이 남지 않아 일반적인 파일 기반 탐지를 우회할 수 있다.

Windows와 macOS 모두에서 작동하는 이 공격은 매우 광범위한 대상을 위협한다. 피해자들의 암호화폐 지갑 개인 키, 거래소 계정 자격증명, 기업 기밀 데이터 등이 탈취될 수 있다. 특히 금융 및 암호 업계 종사자들을 주요 대상으로 삼고 있어 피해 규모가 클 것으로 예상된다.

가장 주목할 만한 기술적 특징은 이더리움 블록체인을 통해 명령과 제어(C2) 서버 주소를 동적으로 해결한다는 점이다. 이 방식은 고전적인 네트워크 모니터링을 크게 어렵게 만들며 서버 추적을 거의 불가능하게 한다. 분산화된 블록체인 특성 때문에 단일 지점의 차단으로는 효과가 제한적이다.

보안 전문가들은 다층적 대응을 권고하고 있다. 먼저 사용자들에게 사회공학 기법에 대한 인식 교육이 필수적이다. 두 번째로 엔드포인트 탐지 및 응답(EDR) 솔루션으로 Obsidian이 명령줄 인터프리터를 실행하는 행동을 모니터링해야 한다. 세 번째로 애플리케이션 제어 정책을 통해 공식 마켓플레이스 외의 플러그인 설치를 제한하는 것이 중요하다. 마지막으로 네트워크 모니터링 팀은 블록체인 서비스와의 비정상적인 연결을 감시해야 한다.