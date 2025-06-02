2025 年全年，IBM X-Force）一直在追踪一起针对全球金融机构的钓鱼攻击活动。该攻击行动借助植入了 JavaScript 脚本的武器化可缩放矢量图形 (SVG) 文件，发起多阶段恶意软件感染攻击。尽管利用 SVG 文件实施钓鱼攻击并非新鲜手段，但近期报告显示，此类攻击手段的使用频率显著上升，这也意味着网络威胁态势正发生大范围转变。
该活动超越了传统的凭据收集，采用先进的加载器、模块化远程访问木马 (RAT) 以及 Amazon S3 和 Telegram 等可信基础设施（用于命令和控制 (C2)）。该活动展示了攻击者如何将网络钓鱼技术演变为全面的初始访问操作。
X-Force 的分析结果显示，存在一起以 SVG 文件为初始攻击向量的全球性钓鱼攻击活动。这些文件伪装成金融交易相关文档，内嵌的 JavaScript 脚本会向目标系统写入一个 ZIP 压缩包。归档后的 JavaScript 文件会启动恶意软件感染链，最终部署 Blue Banana、SambaSpy 和 SessionBot 等远程控制木马。这些载荷旨在实施凭据窃取、会话劫持、监控窃密及数据泄露等恶意行为，对目标组织构成重大安全风险。
恶意软件通过 Amazon S3 和 Telegram 机器人 API 进行通信，混合到合法流量中，使检测变得复杂。该攻击活动利用钓鱼过滤机制中极少被严格审查的文件格式，轻松绕过了传统防御体系。
这种攻击手段与近期 OSINT 报告、技术博客及行业分析中呈现的新兴趋势高度吻合，凸显出 SVG 文件正被日益频繁地滥用于嵌入恶意软件加载器及诱导受害者访问恶意内容。
值得关注的是，该攻击活动采用以 SWIFT 为主题的诱饵文件，其核心关联环球银行金融电信协会 (SWIFT) 这一全球金融机构用于安全信息传输的网络系统，这一设计表明攻击者蓄意将目标锁定在金融行业相关受害者群体。
该攻击活动阐释了钓鱼技术的一个更广泛趋势：攻击者正在从凭据盗窃转向利用创新的低调传播方式传播高级恶意软件。防御方应据此调整检测逻辑并优化员工安全培训，需明确认知到，即便是 SVG 这类看似无害的文件格式，如今也可能成为恶意软件的投递载体。
与通过伪造登录页面窃取凭据的典型钓鱼攻击不同，该攻击活动实现了从诱饵文件到加载器的直接转化，将看似普通的图像文件转变为多阶段恶意软件感染链的初始触发点。
该攻击活动的初始访问阶段通过伪造 SWIFT 全球服务的钓鱼邮件实施，邮件中催促收件人查看具有时效性的付款或转账确认信息。附件以合法文档的形式呈现，实则为一款内嵌 JavaScript 脚本的武器化 SVG 文件。
当 SVG 文件被渲染后，受害者会被诱导下载一份看似 PDF 格式的报告；但无论选择哪一个“PDF 文件”，都会触发内嵌的 JavaScript 脚本，向目标系统保存一个 ZIP 压缩包文件。
当该压缩包被解压后，受害者会发现一份名为 Swift Transaction Report.js 的文件，其中包含经过混淆处理的 JavaScript 代码。该脚本旨在使用 Unicode 转义编码和字符串连接技术来逃避检测。执行该脚本后，将触发下载一个经过深度混淆处理的 Java 归档 (JAR) 文件，例如 Swift Confirmation Copy.jar 和 Tranzacție+în+USD-pdf.jar。这些 JAR 文件充当第一阶段下载器，利用 Branchlock 和 Zelix KlassMaster 等混淆工具规避静态与行为分析检测。
IBM X-Force 分析发现部分 SVG 样本会直接释放 JAR 下载器，而非包含 JavaScript 文件的 ZIP 压缩包，从而跳过感染链中的一个攻击阶段。
如果目标系统安装了 Java 运行时环境 (JRE)，该加载器将启动执行，并开展一系列环境校验以检测沙箱或分析工具，具体包括检查系统进程、熵值及虚拟化特征指标。仅在验证当前环境为真实用户环境后，恶意软件才会尝试获取第二阶段载荷。
为获取第二阶段载荷，该恶意软件会连接攻击者控制的亚马逊 S3 存储桶，将恶意下载流量混入可信云服务通信中。部分变种还会将加密后的载荷嵌入看似无害的诱饵文件内，以进一步降低传输过程中的检测概率。
通过规避检测校验后，该加载器会与攻击者控制的亚马逊 S3 存储桶建立出站连接，以获取加密的第二阶段载荷。攻击者利用云基础设施（如亚马逊 S3）开展攻击，显著增加了检测难度，原因在于流向 aws.amazon.com 等服务的流量，往往会与企业正常业务流量相互混淆。
观察到载荷是从以下位置下载的：
解密和解压后，恶意软件会将文件写入关键的持久性位置，包括：
除文件级持久化机制外，部分变种还会注册计划任务或修改注册表自动运行项，以实现系统重启后仍能维持访问权限。另有多个样本支持执行延迟或基于用户交互触发功能，通过该设计进一步增加自动化沙盒的检测难度。
该攻击活动中部署的恶意软件采用模块化架构设计，使攻击者能够根据受害者环境及攻击目标灵活定制功能模块。IBM X-Force 观察到，攻击者使用了多款载荷，这些载荷在监控窃密、数据窃取及持久化维持等功能上存在交叉覆盖。
此外，该攻击活动还部署了一款针对 Outlook 的邮件窃取器 (email.js)，通过 wscript.exe 执行。该邮件窃取器会扫描 Outlook 配置文件、提取收件箱内容，并将窃取的数据暂存，随后通过基于 Telegram 的 HTTP POST 请求完成数据外传。
为隐藏恶意活动，该恶意程序会释放看似无害的诱饵文件（例如：Tranzacție+în+USD-pdf.txt、Swift Confirmation Copy.pdf），这些文件在执行时会自动打开，以此强化“合法文档”的假象，同时在后台秘密运行恶意进程。
除前文所述的亚马逊 S3 基础设施外，该攻击活动还利用 Telegram 机器人 API 构建入侵后命令与控制 (C2) 通道。这种方法使威胁参与者能够与受感染主机进行交互、外传敏感数据并动态下发指令，所有操作均通过企业环境中通常允许通行的加密通信基础设施完成。
C2 通信通过以下途径路由：
这些通道被用于执行系统侦察、提取 Outlook 收件箱数据，以及通过 SessionBot 和 email.js Outlook 邮件窃取器等恶意软件模块捕获文件。使用 Telegram 具备匿名性、加密化和操作简便性，同时也使通过传统网络监控进行的检测变得复杂。
这种“云托管载荷 + 加密通信”的双渠道基础设施模式，反映出逐利型威胁参与者的一个日益普遍的趋势——将恶意流量混入可信服务中，以此延长驻留时间并提升攻击成功率。
X-Force 观察到，自 4 月底起，攻击者的诱饵主题已从 SWIFT 相关主题转变为金融犯罪调查主题。
采用该主题的 SVG 文件会在磁盘中释放一份 JAR 文件 (Case No.86-2025.jar)。这份 JAR 文件与 SWIFT 主题活动中使用的基于 Java 的下载器相同。另一项变化是新增了一款基于 Java 的 RAT——STRRAT，X-Force 观察到该木马会与 SambaSpy 及 Blue Banana RAT 一同被下载部署。STRRAT 以其信息窃取能力和灵活提供多种恶意功能而闻名。尽管相对轻量，但 STRRAT 能够模仿勒索软件行为并实现对受感染系统的完全远程控制。
该活动反映了网络钓鱼技术手段的更广泛演变——从凭据收集转向模块化恶意软件投递、长期访问和数据渗漏。通过滥用经常被安全过滤器忽视 SVG 文件格式），威胁参与者表现出利用传统检测逻辑中的漏洞的意愿。
使用以 SWIFT 为主题的诱饵可以突出对金融机构的刻意关注，利用熟悉度和信任度来提高点击率。结合云基础设施和 Telegram 等加密消息传递通道，攻击者可以有效地将恶意活动混合到正常流量中，降低了早期检测的可能性。
对于防御方而言，这一现象凸显了重新评估 “安全” 文件类型及可信基础设施相关假设的必要性。网络钓鱼不再只是电子邮件问题，还是复杂的多阶段入侵攻击的切入点。组织必须保持警惕，将可视范围扩大到非传统攻击途径，并不断调整检测逻辑以适应攻击者创新的步伐。
组织可通过整合终端可见性、安全配置与用户安全教育，降低此类攻击活动带来的暴露风险。
指示符
指标类型
情境化
141e8bf99ff6b58816951ed8bfd82
SHA256 文件哈希
Tranzacşie+în+USD-pdf.jar（Java 下载器）
ae345b40d165255284bf4c6ab00
SHA256 文件哈希
Swift Confirmation Copy.jar（Java 下载器）
a4ed118f15c5c943d5964fe381f1bd
SHA256 文件哈希
Case No.86-2025.jar（Java 下载器）
6a9f195f6fa9b298b94235b9b7dfa
SHA256 文件哈希
email.js（Outlook 电子邮件窃取器）
8bcba87df6d459a573441fb848b9
SHA256 文件哈希
Swift Confirmation Copy.pdf（诱饵文件）
701435e822a78b82d53281af3ffb2
SHA256 文件哈希
Swift Transaction Report.js（JavaScript 下载器）
f92240185abf62317800180aba0fb
SHA256 文件哈希
windowsdefi.jar（Blue Banana 远程木马）
b0dcc56ae5e90f6f2f4d05c679508
SHA256 文件哈希
soso.jar（SambaSpy 远程木马）
bc039b022d1a60cb519ae0f43f07d
SHA256 文件哈希
core.jar（STRRAT 远程木马）
6ebab76c90cb36c09119a922d385
SHA256 文件哈希
tg.jar（SessionBot 植入程序）
tcp[:]//wwce.zapto[.]org:443
域
C2 用于 SambaSpy 和 Blue Banana 远程木马
tcp[:]//wce.zapto[.]org:443
域
C2 用于 SambaSpy 和 Blue Banana 远程木马
str-master[.]pw
域
C2 用于 STRRAT
api.telegram[.]org
域
通过 Telegram API 进行渗漏以及机器人通信
https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com
URL
初始载荷托管在亚马逊 S3 存储桶上
https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com
URL
初始载荷托管在亚马逊 S3 存储桶上
https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com
URL
初始载荷托管在亚马逊 S3 存储桶上
https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com
URL
初始载荷托管在亚马逊 S3 存储桶上
java -jar Tranzacție+în+USD-pdf.jar
进程
恶意软件执行命令
tasklist.exe
进程
被恶意软件用来枚举分析工具
wscript.exe email.js
进程
执行电子邮件窃取流程
swiftzjy1@financeplus[.]me
*电子邮件地址
威胁参与者电子邮件
swiftkbp1@farmaciafamiliei[.]md
*电子邮件地址
威胁参与者电子邮件
swiftkcs1@farmaciafamiliei[.]md
*电子邮件地址
威胁参与者电子邮件
swiftotb1@financeplus[.]me
*电子邮件地址
威胁参与者电子邮件
swiftugt1@financeplus[.]me
*电子邮件地址
威胁参与者电子邮件
swiftvqz1@financeplus[.]me
*电子邮件地址
威胁参与者电子邮件
swiftzjy1@financeplus[.]me
*电子邮件地址
威胁参与者电子邮件
Swift Confirmation Copy.jar
Java 存档文件
初始执行时使用的恶意 JAR
Swift Transaction Report.js
JavaScript 文件
经混淆处理的 JavaScript 加载器
Swift Confirmation Copy.pdf
PDF 文件
初次感染后显示的诱饵 PDF 文件
