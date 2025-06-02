2025년 내내 IBM X-Force는 전 세계 금융 기관을 대상으로 한 피싱 캠페인을 추적해 왔습니다. 이 작업에서는 JavaScript가 포함된 무기화된 Scalable Vector Graphics(SVG) 파일을 활용하여 다단계 멀웨어 감염을 시작했습니다. 피싱에 SVG를 사용하는 것이 새로운 것은 아니지만, 최근 보고에 따르면 이러한 전술이 눈에 띄게 증가하여 위협 환경이 더 광범위하게 변화하고 있음을 알 수 있습니다.
이 캠페인은 고급 로더, 모듈식 원격 액세스 트로이목마(RAT), 명령 및 제어(C2)를 위한 Amazon S3 및 Telegram과 같은 신뢰할 수 있는 인프라를 사용하는 기존의 자격 증명 수집을 뛰어넘습니다. 이 활동은 공격자가 피싱 기술을 본격적인 초기 액세스 작업으로 발전시키는 방법을 보여줍니다.
X-Force 분석을 통해 SVG 파일을 초기 공격 벡터로 활용하는 글로벌 피싱 캠페인을 발견했습니다. 금융 거래 문서로 위장한 이러한 파일에는 ZIP 아카이브를 시스템에 기록하는 내장 JavaScript가 포함되어 있습니다. 아카이브 내에서 JavaScript 파일이 멀웨어 감염 체인을 시작하여 궁극적으로 Blue Banana, SambaSpy 및 SessionBot과 같은 RAT를 배포합니다. 이러한 페이로드는 자격 증명 도용, 세션 하이재킹, 감시 및 데이터 유출을 위해 설계되어 대상 조직에 심각한 위험을 초래합니다.
멀웨어는 Amazon S3와 Telegram Bot API를 통해 통신하여 합법적인 트래픽에 섞여 탐지 작업을 복잡하게 만듭니다. 이 캠페인은 피싱 필터에서 거의 조사하지 않는 파일 형식을 사용하여 기존의 방어 체계를 쉽게 우회합니다.
이 접근 방식은 최근 OSINT 보고, 기술 블로그 및 업계 분석에서 나타나는 새로운 패턴을 반영하며, 멀웨어 로더를 삽입하고 피해자를 악성 콘텐츠로 리디렉션하는 데 SVG가 점점 더 악용되는 방식을 강조합니다.
특히, 금융 기관에서 보안 메시징을 위해 사용하는 글로벌 네트워크인 국제은행간 금융 통신협회(SWIFT)를 언급하며 SWIFT를 테마로 한 미끼를 사용한 캠페인은 금융 분야의 피해자에게 의도적으로 초점을 맞추고 있음을 시사합니다.
이러한 활동은 피싱 수법의 더 광범위한 추세를 보여줍니다. 공격자는 자격 증명 도용을 넘어 창의적이고 눈에 띄지 않는 방법을 사용하여 고급 멀웨어를 배포하는 방향으로 나아가고 있습니다. 방어자는 SVG와 같은 무해한 파일 유형도 이제 멀웨어 전달 플랫폼으로 작용할 수 있다는 점을 인식하고 그에 따라 탐지 로직과 직원 교육을 조정해야 합니다.
스푸핑된 로그인 페이지를 통해 자격 증명을 도용하는 일반적인 피싱 캠페인과 달리, 이 캠페인은 미끼에서 로더로 전환되어 이미지 파일로 보이는 것을 다단계 멀웨어 감염 체인의 시작점으로 바꾸었습니다.
캠페인의 초기 접근 단계에서는 SWIFT 글로벌 서비스를 사칭한 피싱 이메일이 수신자에게 시간이 촉박한 결제 또는 송금 확인을 유도했습니다. 합법적인 문서로 제공된 첨부 파일은 JavaScript가 포함된 무기화된 SVG였습니다.
일단 렌더링되면 피해자는 PDF 파일로 보이는 보고서를 다운로드하도록 유도됩니다. 그러나 두 PDF 중 하나를 선택하면 JavaScript가 ZIP 아카이브 파일을 시스템에 저장하도록 트리거됩니다.
아카이브를 추출하고 압축을 풀면 피해자는 난독화된 자바스크립트가 포함된 Swift Transaction Report.js라는 파일을 발견하게 됩니다. 이 스크립트는 유니코드 이스케이프 인코딩과 문자열 연결 기술을 사용하여 감지를 회피하도록 설계되었습니다. 스크립트를 실행하면 Swift Confirmation Copy.jar 및 Tranzacție+în+USD-pdf.jar와 같이 심하게 난독화된 JAR(Java Archive) 파일의 다운로드가 트리거됩니다. 이들은 1단계 다운로더 역할을 했으며, Branchlock 및 Zelix KlassMaster와 같은 난독화 도구를 활용하여 정적 및 행동 분석을 회피했습니다.
IBM X-Force는 감염 체인 단계를 우회하여 JavaScript가 포함된 ZIP 파일 대신 JAR 다운로더를 드롭한 일부 SVG 샘플을 분석했습니다.
대상 시스템에 Java 런타임 환경(JRE)가 설치된 경우 로더는 일련의 환경 검사를 실행하고 시작하여 샌드박싱 또는 분석 도구를 탐지했습니다. 여기에는 시스템 프로세스, 엔트로피 및 가상화 지표 검사가 포함되었습니다. 실제 사용자 환경을 검증한 후에야 멀웨어는 2단계 페이로드를 검색하려고 시도했습니다.
이를 위해 공격자가 제어하는 Amazon S3 버킷에 접근하여 악성 다운로드를 신뢰할 수 있는 클라우드 서비스 트래픽에 통합했습니다. 일부 변종은 전송 중 탐지 가능성을 더욱 낮추기 위해 정상적으로 보이는 미끼 파일에 암호화된 페이로드를 삽입했습니다.
회피 검사가 통과되면 로더는 공격자가 제어하는 Amazon S3 버킷에 아웃바운드 연결을 설정하여 암호화된 2단계 페이로드를 검색합니다. 클라우드 기반 인프라를 사용하면 amazonaws.com과 같은 서비스에 대한 트래픽이 정상적인 기업 활동과 섞이는 경우가 많기 때문에 탐지 작업이 더 복잡해졌습니다.
다음에서 페이로드가 다운로드되는 것이 관찰되었습니다.
복호화 및 압축 해제 시 멀웨어는 다음과 같은 주요 지속성 위치에 파일을 썼습니다.
파일 기반 지속성 외에도 일부 변종은 예약된 작업을 등록하거나 레지스트리 자동 실행 키를 수정하여 시스템 재부팅 시에도 액세스를 유지했습니다. 또한 몇몇 샘플은 사용자 상호 작용에 따라 실행을 지연시키거나 기능을 게이팅하여 자동화된 샌드박싱을 통한 탐지를 더욱 복잡하게 만들었습니다.
이 캠페인에 배포된 멀웨어는 모듈식 아키텍처를 사용하여 공격자가 피해자의 환경과 목표에 따라 기능을 조정할 수 있습니다. IBM X-Force는 감시, 데이터 도난 및 지속성 능력을 중복하는 여러 페이로드를 사용하는 것을 관찰했습니다.
또한 이 캠페인은 wscript.exe를 통해 실행되는 Outlook 표적 이메일 탈취기(email.js)를 사용했습니다. 이 도구는 Outlook 프로필을 검색하고, 받은 편지함 내용을 추출한 뒤 Telegram 기반 HTTP POST 요청을 통해 데이터 유출을 준비했습니다.
활동을 은폐하기 위해 악성코드는 정상 파일처럼 보이는 미끼 파일 (예: Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf)을 드롭했으며, 이 파일들은 실행 시 열리도록 설정되어 있었습니다. 이를 통해 사용자에게 정상적인 파일처럼 보이게 하면서, 백그라운드에서는 악성 프로세스가 실행되도록 해 정당한 동작이라는 착각을 강화했습니다.
이 캠페인은 앞서 설명한 Amazon S3 인프라 외에도 침해 후 명령 및 제어(C2)를 위해 Telegram의 Bot API를 활용했습니다. 이러한 접근 방식을 통해 위협 행위자는 기업 환경에서 일반적으로 허용되는 암호화된 메시징 인프라를 통해 감염된 호스트와 상호 작용하고, 민감한 데이터를 유출하고, 동적으로 명령을 내릴 수 있습니다.
C2 통신은 다음을 통해 라우팅되었습니다.
이러한 채널은 시스템 정찰, Outlook 받은 편지함 데이터 추출, 세션봇 및 email.js Outlook 스틸러와 같은 멀웨어 모듈의 파일 캡처에 사용되었습니다. Telegram의 사용은 익명성, 암호화 및 운영 편의성을 제공하는 동시에 기존 네트워크 모니터링을 통한 탐지를 복잡하게 만들었습니다.
클라우드 기반 페이로드 호스팅과 암호화된 메시징을 결합한 이 이중 채널 인프라 모델은 금전적 동기를 가진 위협 행위자들 사이에서 악성 트래픽을 신뢰할 수 있는 서비스에 통합해 체류 시간을 연장하고 성공 가능성을 높이는 추세를 반영합니다.
X-Force는 4월 말부터 SWIFT를 테마로 한 미끼를 사용하다가 금융 범죄 수사를 테마로 한 미끼로 변경한 증거를 관찰했습니다.
이 테마를 사용하는 SVG 파일은 디스크에 Case No.86-2025.jar라는 JAR 파일을 저장했습니다.이 JAR 파일은 SWIFT 테마 캠페인에서 사용된 것과 동일한 Java 기반 다운로더입니다. 또 다른 변경 사항으로는 Java 기반 RAT인 'STRRAT'가 포함되었으며,이는 SambaSpy 및 Blue Banana RAT과 함께 다운로드되는 것이 관찰되었습니다. STRRAT는 정보 탈취 기능과 다양한 악성 기능을 유연하게 전달할 수 있는 능력으로 잘 알려져 있습니다. 비교적 경량임에도 불구하고, STRRAT는 랜섬웨어와 유사한 동작을 모방할 수 있으며, 감염된 시스템에 대한 완전한 원격 제어 기능을 활성화할 수 있습니다.
이 캠페인은 자격 증명 수집을 넘어 모듈식 멀웨어 전달, 장기 액세스 및 데이터 유출로 이어지는 피싱 거래의 광범위한 진화를 반영합니다. 위협 행위자는 보안 필터에서 종종 간과되는 형식인 SVG 파일을 악용함으로써 기존 탐지 로직의 격차를 악용하려는 의지를 보여줍니다.
SWIFT 테마의 미끼를 사용하면 금융 기관에 신중하게 초점을 맞추고 친숙함과 신뢰를 활용하여 클릭률을 높일 수 있습니다. 공격자는 클라우드 기반 인프라 및 Telegram과 같은 암호화된 메시징 채널과 결합하여 악의적인 활동을 정상 트래픽에 효과적으로 혼합하여 조기 탐지 가능성을 줄입니다.
이는 방어자에게 '안전한' 파일 형식과 정상 인프라에 대한 가정을 재평가할 필요가 있음을 강조합니다. 피싱은 더 이상 단순한 이메일 문제가 아니라 정교한 다단계 침입 공격의 진입점이 되고 있습니다. 조직은 경계를 늦추지 않고 가시성을 비전통적인 벡터로 확장하고 공격자의 혁신 속도에 맞춰 탐지 로직을 지속적으로 조정해야 합니다.
조직은 엔드포인트 가시성, 보안 구성 및 사용자 교육을 결합하여 이와 같은 캠페인에 대한 노출을 줄일 수 있습니다.
지표
지표 유형
컨텍스트
141e8bf99ff6b58816951ed8bfd82
SHA256 파일 해시
Tranzacție+în+USD-pdf.jar(Java 다운로더)
ae345b40d165255284bf4c6ab00
SHA256 파일 해시
Swift Confirmation Copy.jar(Java 다운로더)
a4ed118f15c5c943d5964fe381f1bd
SHA256 파일 해시
Case No.86-2025.jar(Java 다운로더)
6a9f195f6fa9b298b94235b9b7dfa
SHA256 파일 해시
email.js(Outlook 이메일 스틸러)
8bcba87df6d459a573441fb848b9
SHA256 파일 해시
Swift Confirmation Copy.pdf(미끼 파일)
701435e822a78b82d53281af3ffb2
SHA256 파일 해시
Swift Transaction Report.js(JavaScript 다운로더)
f92240185abf62317800180aba0fb
SHA256 파일 해시
windowsdefi.jar(Blue Banana RAT)
b0dcc56ae5e90f6f2f4d05c679508
SHA256 파일 해시
soso.jar(SambaSpy RAT)
bc039b022d1a60cb519ae0f43f07d
SHA256 파일 해시
core.jar(STRAT RAT)
6ebab76c90cb36c09119a922d385
SHA256 파일 해시
tg.jar(SessionBot 임플란트)
tcp[:]//wwce.zapto[.]org:443
도메인
SambaSpy 및 Blue Banana RAT용 C2
tcp[:]//wce.zapto[.]org:443
도메인
SambaSpy 및 Blue Banana RAT용 C2
str-master[.]pw
도메인
STRRAT용 C2
api.telegram[.]org
도메인
Telegram API를 통한 유출 및 봇 통신
https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com
URL
Amazon S3 버킷에서 호스팅되는 초기 페이로드
https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com
URL
Amazon S3 버킷에서 호스팅되는 페이로드
https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com
URL
Amazon S3 버킷에서 호스팅되는 페이로드
https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com
URL
Amazon S3 버킷에서 호스팅되는 페이로드
java -jar Tranzacție+în+USD-pdf.jar
프로세스
멀웨어 실행 명령
tasklist.exe
프로세스
악성코드가 분석 도구를 열거하는 데 사용
wscript.exe email.js
프로세스
이메일 도용 프로세스 실행
swiftzjy1@financeplus[.]me
이메일 주소
위협 행위자 이메일
swiftkbp1@farmaciafamiliei[.]md
이메일 주소
위협 행위자 이메일
swiftkcs1@farmaciafamiliei[.]md
이메일 주소
위협 행위자 이메일
swiftotb1@financeplus[.]me
이메일 주소
위협 행위자 이메일
swiftugt1@financeplus[.]me
이메일 주소
위협 행위자 이메일
swiftvqz1@financeplus[.]me
이메일 주소
위협 행위자 이메일
swiftzjy1@financeplus[.]me
이메일 주소
위협 행위자 이메일
Swift Confirmation Copy.jar
Java 아카이브 파일
초기 실행에 사용된 악성 JAR
Swift Transaction Report.js
JavaScript 파일
난독화된 JavaScript 로더
Swift Confirmation Copy.pdf
PDF 파일
초기 감염 후 표시되는 미끼 PDF 파일
IBM X-Force Premier Threat Intelligence는 이제 OpenCTI by Filigran과 통합되어, 이번 위협 활동을 포함한 실행 가능한 위협 인텔리전스를 제공합니다. 위협 행위자, 멀웨어, 업계 위험에 대한 인사이트를 확인하세요. 탐지 및 대응 능력을 강화하고 IBM X-Force의 전문 역량으로 사이버 보안을 강화하기 위해 X-Force OpenCTI Connector를 설치하세요. 지금 바로 30일 X-Force Premier Threat Intelligence 평가판을 받아보세요!
IBM 위협 탐지 및 대응 솔루션을 활용하여 보안을 강화하고 위협 탐지를 가속화하세요.
IBM MAAS360의 포괄적인 모바일 위협 방어 솔루션으로 모바일 환경을 보호하세요.