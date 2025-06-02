タグ
武器化されたSVG：金融機関を標的とした世界的なフィッシング・キャンペーンの内部

青い背景にスマートフォンを持ち、上に吊り下げられた

2025年を通じて、IBM® X-Forceは世界中の金融機関を標的としたフィッシング・キャンペーンを追跡してきました。このオペレーションでは、JavaScriptに埋め込まれた武器化されたスケーラブル Vector Graphics（SVG）ファイルを活用し、多段階マルウェア感染を開始しました。フィッシングでのSVGの使用は新しいものではありませんが、最近のレポートでは、この手口の増加率が顕著であり、脅威のランドスケープがより広範に変化していることを示しています。

このキャンペーンは、従来の認証情報の収集を超えており、高度なローダー、モジュール式リモート・アクセス型トロイの木馬（RAT）、コマンド・アンド・コントロール（C2）用のAmazon S3やTelegramなどの信頼できるインフラストラクチャーを採用しています。このアクティビティーは、攻撃者がフィッシング技術を本格的な初期アクセス運用に進化させていることを示しています。

重要ポイント

  • 初期アクセスとして武器化されたSVG：脅威アクターは、JavaScriptに埋め込まれたSVGファイルを使用して、従来のセキュリティー・フィルターを回避し、多段階のマルウェア感染を開始しています。
  • 金融セクターのターゲットこのキャンペーンは、SWIFTをテーマにしたルアーを使用して信頼できる金融コミュニケーションを装い、特に複数の地域の金融機関をターゲットにしています。
  • Javaベースのマルウェアの配信：SVGに埋め込まれたJavaScriptが実行されると、Javaベースのローダーのダウンロードに使用されるJavaScriptファイルを含むZIPアーカイブがドロップされます。Javaが存在する場合、Blue Banana RAT、SambaSpy、SessionBotなどのモジュール型マルウェアをデプロイします。
  • 高度な回避戦術：このマルウェアは、アンチ解析チェックと環境検証を実行し、サンドボックス化されていない実際のユーザー環境でのみ実行されるようにします。
  • 正規のインフラストラクチャーの悪用：ペイロードとC2通信は、Amazon S3とTelegramを介してルーティングされるため、活動が通常の企業トラフィックに紛れ込んで検知を回避されます。
  • 新たな手口傾向：本キャンペーンは、フィッシング手法における広範な変化を反映しており、攻撃者がマルウェア配布のためにSVGのような非伝統的なファイル形式を悪用するケースが増加しています。
キャンペーン概要

X-Forceの分析により、SVGファイルを最初の攻撃ベクトルとして利用した世界的なフィッシング・キャンペーンが明らかになりました。金融取引文書を装ったこれらのファイルには、システムにZIPアーカイブを書き込むJavaScriptが埋め込まれています。アーカイブ内では、JavaScriptファイルがマルウェアの感染チェーンをInitiateし、最終的にBlue Banana、SambaSpy、SessionBotなどのRATをデプロイします。これらのペイロードは、認証情報の盗難、セッション・ハイジャック、監視、データ窃取のために設計されており、標的の組織に重大なリスクをもたらします。

このマルウェアは、Amazon S3とTelegramチャットボットAPIを介して通信し、正規のトラフィックに紛れ、検知作業を複雑にしています。フィッシング・フィルターでほとんど精査されないファイル形式を使用することで、このキャンペーンは従来の防御策を容易に回避します。

このアプローチは、最近のOSINT報告技術ブログ業種・業務分析における新たなパターンを反映しており、SVGがマルウェアを埋め込み、被害者を悪意のあるコンテンツにリダイレクトするためにますます悪用されていることを浮き彫りにしています。

注目すべきことは、このキャンペーンでは、金融機関が安全なメッセージングのために使用する世界的なネットワークであるSWIFT（Society for Worldbank Financial Telecommunication、SWIFT）を言及したSWIFTをテーマにしたルアーが使用されており、金融セクターの被害者に意図的に焦点を当てていることを示唆しています。

この活動は、フィッシング詐欺における幅広い傾向を示しています。攻撃者は認証情報の盗難にとどまらず、クリエイティブで知名度の低いベクターを使用した高度なマルウェアを配布しています。防御側は、SVGのような無害なファイル・タイプでもマルウェア配布プラットフォームとして機能する可能性があることを認識し、それに応じて検出ロジックと従業員のトレーニングを適応させる必要があります。

キャンペーン内部

なりすましのログイン・ページを通じて認証情報の盗難を目的とする一般的なフィッシング・キャンペーンとは異なり、このキャンペーンはルアーからローダーへと移行し、イメージ・ファイルに見えるものを多段階のマルウェア感染チェーンの起点に変えました。

初回配信：画像を装ったルアー

キャンペーンの初期アクセス段階では、SWIFT Global Servicesを装ったフィッシングEメールが使用され、時間に敏感な支払いや送金の確認を受信者にレビューするよう促しました。正規の文書として提示された添付ファイルは、JavaScriptを含む武器化されたSVGでした。

レンダリングされると被害者はPDFファイルに見えるレポートをダウンロードするように興味をそそられますただし、いずれかのPDFを選択すると、JavaScriptがトリガーされ、ZIPアーカイブ・ファイルをシステムに保存されます。

被害者組織に送信されたSWIFTフィッシングEメールの例
図1：被害者組織に送信されたSWIFTフィッシングEメールの例
レンダリングされたSVGファイルの画面ショット
図2：レンダリングされたSVGファイルの例

SVGからマルウェア・ローダーへ

アーカイブが抽出および解凍されると、被害者はSwift Transaction Report.jsという名前のファイルを見つけます。このファイルには、難読化されたJavaScriptが含まれています。このスクリプトは、Unicodeエスケープ・エンコーディングと文字列連結技術を使用して検知を回避するように設計されています。スクリプトを実行すると、Swift Confirmation Copy.jarTranzacție+în+USD-pdf.jarなどの高度に難読化された Java アーカイブ（JAR）ファイルのダウンロードがトリガーされます。これらは第1段階のダウンローダーとして機能し、BranchlockやZelix KlassMasterなどの難読化ツールを利用して、静的および行動分析を回避しました。

IBM® X-Forceは、JavaScriptを含むZipファイルの代わりにJARダウンローダーをドロップし、感染チェーンの一段階を回避したいくつかのSVGサンプルを分析しました。

ターゲット・システムにJavaランタイム環境（JRE）がインストールされている場合、ローダーは実行され、サンドボックスまたは分析ツールを検知するための一連の環境チェックを開始します。これらには、システム・プロセス、エントロピー、仮想化指標の検査が含まれます。実際のユーザー環境を検証した後のみ、マルウェアは第2段階ペイロードを取得しようとしました。

それを実現するために、攻撃者が管理するAmazon S3バケットに連絡し、悪意のあるダウンロードを他の信頼できるクラウド・サービス・トラフィックに組み込みました。一部の亜種では、暗号化されたペイロードを無害なものに見えるおとりファイル内に埋め込み、転送中に検知される可能性をさらに高めていました。

ペイロードの実行とマルウェアのデプロイメント

回避チェックに合格すると、ローダーは攻撃者が管理するAmazon S3バケットへのアウトバウンド接続を確立し、暗号化された第2段階のペイロードを取得しました。クラウド・ベースのインフラストラクチャーを使用すると、Amazonaws.comなどのサービスへのトラフィックが通常の企業活動に紛れ込むことが多くなったため、検知の取り組みはさらに複雑になりました。

ペイロードは次の場所からダウンロードされていることが観察されました。

  • occtupus Great.s3.us-east-1.amazonaws[.]com
  • Seasongregting.s3.eu-west-1.amazonaws[.]com
  • Seasononster.s3.us-east-1.amazonaws[.]com

復号化と解凍の際に、マルウェアは次のような主要な永続化場所にファイルを書き込みます。

  • %AppData%\Microsoft\Windows\Startmen\Programs\Startup\ — ユーザーのログイン時に実行を確保
  • %AppData%\Microsoft\Vault\cred\ — デコリー・ファイルのステージングや窃盗されたデータの保管に使用される疑い

ファイル・ベースの永続性に加えて、スケジュールされたタスクや変更されたレジストリーの自動実行キーを登録して、システムの再起動間のアクセスを維持するという亜種もありました。また、いくつかのサンプルはユーザー・インタラクションに基づいて実行やゲート機能を遅延させ、自動サンドボックスを通じて検知をさらに複雑にしました。

モジュラーRAT機能

このキャンペーンでデプロイされたマルウェアはモジュール式アーキテクチャーを示しており、オペレーターは被害者の環境と目的に基づいて機能をカスタマイズできます。IBM® X-Forceは、重複する監視、データ盗難、永続化機能を備えた複数のペイロードの使用を観察しました。

  • Blue Banana RAT
    難読化されたJARファイル（Windowsdefi.jar）を介して配信されます。Blue Bananaは、リモート・シェル・アクセス、ファイル実行、認証情報収集（FileZillaなど）、さらにはDDoSへの参加を可能にします。分析を複雑にするために、Brenchlock、Zelix KlassMaster、Allatori難読化ツールを使用して保護されました。
  • SambaSpy RAT
    No-IP DDNSドメイン（例、wwce.zapto[.]org）、SambaSpyは、webカメラ・アクセス、キーロギング、クリップボード・モニタリング、およびファイル操作をサポートします。安全なデータ窃盗のためにAES暗号化チャネルを使用し、プラグイン・ベースの拡張性をサポートしています。
  • セッションボット・インプラント
    この軽量のインプラント（tg.jar）は、システム偵察を実行し、RDP履歴、ユーザーおよびネットワーク・セッション、パブリックIP地理位置情報などの詳細を収集します。Telegram チャットボット APIを活用して情報流出とコマンドアンドコントロールを行い、多くの場合、1.jar2.jarrecovery.jarなどの追加モジュールをダウンロードします。

さらに、キャンペーンではOutlookに重点を置いたEメール・スティーラー（email.js）が使用されましたwscript.exe経由で実行されました。Outlookのプロファイルをスキャンし、受信トレイの内容を抽出し、TelegramベースのHTTP POST要求を介してデータを流出させます。

マルウェアは、その活動を隠すために、無害に見えるおとりファイル（例：Tranzacäe+úin+USD-pdf.txtSwift Confirmation Copy.pdf）をドロップすることで、悪意のあるプロセスがバックグラウンドで実行されている間、正当性の誤解を強化することができました。

コマンド・アンド・コントロール・インフラストラクチャー

Amazon S3インフラストラクチャーに加えて、このキャンペーンではTelegramのチャットボットAPIを侵害後のコマンド・アンド・コントロール（C2）に活用しました。このアプローチにより、脅威アクターは、企業環境で一般的に許可されている暗号化されたメッセージング・インフラストラクチャー全体で、感染したホストと対話し、機密データを流出し、命令を動的に発行できるようになりました。

C2通信は以下を経由してルーティングされました。

  • api.telegram[.]org/bot7369538001...
  • api.telegram[.]org/bot7819421465...

これらのチャネルは、システム偵察、Outlook受信トレイデータの抽出、およびSessionBotやemail.js Outlookスティーラーなどのマルウェア・モジュールによるファイルのキャプチャーに使用されました。Telegramを使用することで、匿名性、暗号化、運用の容易さが実現すると同時に、従来のネットワーク監視による検知も複雑になりました。

このデュアルチャネル・インフラストラクチャー・モデルは、クラウド・ベースのペイロード・ホスティングと暗号化されたメッセージングを組み合わせており、悪意のあるトラフィックを信頼できるサービスに融合させ、滞留期間を延長し、成功の可能性を高めるという金銭目的の脅威アクターの間での傾向が高まっていることを反映しています。

テーマの変更

X-Forceは、4月末にSWIFTをテーマにしたルアーの使用から、金融犯罪捜査をテーマにしたルアーに変更した証拠を観察しました。

金融犯罪の捜査テーマのルアーを使用したSVGファイルの例
図3：金融犯罪の調査をテーマにしたルアーを使用したSVGファイルの例

このテーマを使用したSVGファイルは、JARファイル、Case No.86-2025.jar、をディスクに格納します。このJARは、SWIFTをテーマにしたキャンペーンで使用されたのと同じJavaベースのダウンローダーです。もう1つの変更には、JavaベースのRATである「STRRAT」が含まれ、SambaSpyやBlue Banana RATとともにダウンロードされたことが観察されました。STRRATは、情報窃取能力と複数の悪意のある機能を実現する柔軟性で知られています。STRRATは比較的軽量であるにもかかわらず、ランサムウェアの動作を模倣し、感染したシステムを完全なリモート制御を可能にすることができます。

重要である理由

このキャンペーンは、認証情報の収集を超えて、モジュール式マルウェアの配信、長期的なアクセス、データ窃盗に向けて移行する、フィッシングの手口における広範な進化を反映しています。セキュリティー・フィルターによって見落とされがちな形式であるSVGファイルを悪用することで、脅威アクターは従来の検知ロジックのギャップを悪用する意欲を示しています。

SWIFTをテーマにしたルアーの使用は、金融機関に意図的に焦点を当て、知っていることと信頼を利用してクリックスルー率を高めていることを浮き彫りにします。クラウド・ベースのインフラストラクチャーとTelegramなどの暗号化メッセージング・チャネルと組み合わせることで、攻撃者は悪意のあるアクティビティーを通常のトラフィックに効果的に紛れさせ、早期検知の可能性を低減します。

防御側にとって、これは「安全な」ファイル・タイプと無害なインフラストラクチャーに関する前提を再評価する必要性を浮き彫りにします。フィッシングはもはや単なるEメールの問題ではなく、高度な多段階の侵入攻撃への侵入口になっています。組織は常に警戒を続け、非従来のベクトルに可視性を拡大し、攻撃者のイノベーションのペースに合わせて検知ロジックを継続的に適応させる必要があります。

推奨事項：

組織は、エンドポイントの可視性、安全な構成、教育を組み合わせることで、このようなキャンペーンにさらされる機会を減らすことができます。

  • ウイルス対策およびEDR（エンドポイントの検知と対応）ツールを最新の状態に保つ：検知エンジンが、Javaベースのマルウェアに関連する既知のペイロードと動作を識別できるようにします。
  • 多要素認証（MFA）を強制する：すべてのユーザー・アカウント（特に、Eメール、リモート・アクセス、金融システムに使用されるアカウント）にMFAを適用します。
  • ソフトウェア・パッチを迅速に適用する：オペレーティング・システム、Javaランタイム、ブラウザー、メール・クライアントに対する定期的なパッチ・サイクルを維持して、エクスプロイトされる機会を減らします。
  • デフォルトでマクロを無効にする：明示的に承認および署名されない限り、Eメールの添付ファイルからマクロを実行できないようにします。
  • 最小の権限を適用する：ユーザー・アカウントの権限を必要なもののみに制限し、侵害が成功した範囲を縮小することができます。
  • クラウドの不正使用を監視する：Amazon S3などのクラウド・ストレージ・プラットフォーム、特に未知のバケットや設定ミスのバケットへの不審な接続がないか、アウトバウンド・ネットワーク・トラフィックを検査します。
  • フィッシング対策について従業員をトレーニングする：スタッフ（特に財務や管理職のスタッフ）に、不審なルアー、ファイルの種類、配信方法の認識方法を教育します。

侵害の兆候

分類

インジケーター・タイプ

コンテキスト

141e8bf99ff6b58816951ed8bfd82
1079d8082be6c02cb36f0FD1fFe4E
06e664

SHA256ファイル・ハッシュ

Tranzacție+în+USD-pdf.jar (Java downloader)

ae345b40d165255284bf4c6ab00
a871fcb035b552ac0b20b3cfb19e4
644e49b7

SHA256ファイル・ハッシュ

Swift Confirmation Copy.jar (Java downloader)

a4ed118f15c5c943d5964fe381f1bd
4f9ce02d4c0f0212d3f2e95a0e37e
2d1a2

SHA256ファイル・ハッシュ

Case No.86-2025.jar (Java downloader)

6a9f195f6fa9b298b94235b9b7dfa
415f67ce29d0f5135d3e6705ae3c8
4da88b

SHA256ファイル・ハッシュ

email.js (Outlook email stealer)

8bcba87df6d459a573441fb848b9
0451d65bce3a0f2ac08844c09892
2672b734

SHA256ファイル・ハッシュ

Swift Confirmation Copy.pdf (decoy file)

701435e822a78b82d53281af3ffb2
0b3732462ec99c6f36afdfc6f8eed
4123f9

SHA256ファイル・ハッシュ

Swift Transaction Report.js (JavaScript downloader)

f92240185abf62317800180aba0fb
da19d8e494a693e5a223003f52a8
8e3dda8

SHA256ファイル・ハッシュ

windowsdefi.jar (Blue Banana RAT)

b0dcc56ae5e90f6f2f4d05c679508
32550b05505731b298f8230f0e43e
f35c9e

SHA256ファイル・ハッシュ

soso.jar (SambaSpy RAT)

bc039b022d1a60cb519ae0f43f07d
7155273867cc40ce78025959733d7
95f96f

SHA256ファイル・ハッシュ

core.jar (STRRAT RAT)

6ebab76c90cb36c09119a922d385
45326bb7f211d6b4b9792530e6771
67d0477 

SHA256ファイル・ハッシュ

tg.jar (SessionBot Implant)

tcp[:]//wwce.zapto[.]org:443

ドメイン

C2 for SambaSpy and Blue Banana RATs

tcp[:]//wce.zapto[.]org:443

ドメイン

C2 for SambaSpy and Blue Banana RATs

str-master[.]pw

ドメイン

C2 for STRRAT

api.telegram[.]org

ドメイン

Telegram APIを介した情報漏洩およびボット通信

https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com

URL

Amazon S3バケットでホストされた初期ペイロード

https[:]/ Season/gretting.s3.eu-west-1.amazonaws[.]com

URL

Amazon S3バケットでホストされているペイロード

https[:]/ Season/monster.s3.us-east-1.amazonaws[.]com

URL

Amazon S3バケットでホストされているペイロード

https[:]//fulpremier.s3.eu-west-1.amazonaws[.]com

URL

Amazon S3バケットでホストされているペイロード

java -jar Tranzaczanie+ún+USD-pdf.jar

プロセス

マルウェア実行コマンド

Tasklist.exe

プロセス

分析ツールを列挙するためにマルウェアが使用

wscript.exe email.js

プロセス

Eメール盗難処理を実行する

swiftzjy1@financeplus[.]me

Eメール・アドレス

脅威アクターEメール

swiftkbp1@farmaciafamiliei[.]md

Eメール・アドレス

脅威アクターEメール

swiftkcs1@farmaciafamiliei[.]md

Eメール・アドレス

脅威アクターEメール

swiftotb1@financeplus[.]me

Eメール・アドレス

脅威アクターEメール

swiftugt1@financeplus[.]me

Eメール・アドレス

脅威アクターEメール

swiftvqz1@financeplus[.]me

Eメール・アドレス

脅威アクターEメール

swiftzjy1@financeplus[.]me

Eメール・アドレス

脅威アクターEメール

Swift Confirmation Copy.jar

Javaアーカイブ・ファイル

初期実行で使用される悪意のあるJAR

Swift Transaction Report.js

JavaScriptファイル

難読化JavaScriptローダー

Swift Confirmation Copy.pdf

PDFファイル

初期感染後に表示されるデコイのPDFファイル

IBM® X-Force Premier Threat Intelligenceが、FiligranのOpenCTIと統合され、この脅威アクティビティーなどに関する実行可能な脅威インテリジェンスを提供しています。脅威アクター、マルウェア、業種・業務リスクに関する洞察にアクセスします。X-Force OpenCTI Connectorをインストールして検知と対応を強化し、IBMの専門知識でサイバーセキュリティーを強化しましょう。X-Force Premier脅威インテリジェンスの30日間トライアルを今すぐご利用ください。

