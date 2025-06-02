태그
보안

무기화된 SVG: 금융 기관을 대상으로 한 글로벌 피싱 캠페인 내부

파란색 배경에 스마트폰을 들고 있는 손과 그 위에 걸려있는 낚시 바늘에 흰색 봉투가 있는 모습

2025년 내내 IBM X-Force는 전 세계 금융 기관을 대상으로 한 피싱 캠페인을 추적해 왔습니다. 이 작업에서는 JavaScript가 포함된 무기화된 Scalable Vector Graphics(SVG) 파일을 활용하여 다단계 멀웨어 감염을 시작했습니다. 피싱에 SVG를 사용하는 것이 새로운 것은 아니지만, 최근 보고에 따르면 이러한 전술이 눈에 띄게 증가하여 위협 환경이 더 광범위하게 변화하고 있음을 알 수 있습니다.

이 캠페인은 고급 로더, 모듈식 원격 액세스 트로이목마(RAT), 명령 및 제어(C2)를 위한 Amazon S3 및 Telegram과 같은 신뢰할 수 있는 인프라를 사용하는 기존의 자격 증명 수집을 뛰어넘습니다. 이 활동은 공격자가 피싱 기술을 본격적인 초기 액세스 작업으로 발전시키는 방법을 보여줍니다.

주요 내용:

  • 초기 액세스로서 무기화된 SVG: 위협 행위자는 JavaScript가 포함된 SVG 파일을 사용하여 기존 보안 필터를 우회하고 다단계 멀웨어 감염을 시작합니다.
  • 금융 부문 타겟팅: 이 캠페인은 SWIFT를 테마로 한 미끼를 사용하여 신뢰할 수 있는 금융 커뮤니케이션을 사칭하며 특히 여러 지역의 금융 기관을 대상으로 합니다.
  • Java 기반 멀웨어 전달: 실행 시 SVG에 포함된 JavaScript는 Java 기반 로더를 다운로드하는 데 사용되는 JavaScript 파일이 포함된 ZIP 아카이브를 삭제합니다. Java가 있는 경우 Blue Banana RAT, SambaSpy 및 SessionBot을 비롯한 모듈식 멀웨어를 배포합니다.
  • 고급 회피 전술: 이 멀웨어는 분석 방지 검사 및 환경 검증을 수행하여 샌드박스가 아닌 실제 사용자 환경에서만 실행되도록 합니다.
  • 합법적인 인프라 남용: 페이로드 및 C2 통신은 Amazon S3 및 Telegram을 통해 라우팅되므로 활동이 일반 기업 트래픽에 섞여 탐지를 피할 수 있습니다.
  • 새로운 악성 기술 추세: 이 캠페인은 멀웨어를 전달하기 위해 공격자가 SVG와 같은 비전통적 파일 형식을 점점 더 많이 악용하는 피싱 기술의 광범위한 변화를 반영합니다.
컴퓨터를 바라보는 남성

보안 인텔리전스 강화  

매주 Think 뉴스레터에서 보안, AI 등에 대한 뉴스와 인사이트를 확인하고 위협에 한발 앞서 대처하세요.  

캠페인 개요

X-Force 분석을 통해 SVG 파일을 초기 공격 벡터로 활용하는 글로벌 피싱 캠페인을 발견했습니다. 금융 거래 문서로 위장한 이러한 파일에는 ZIP 아카이브를 시스템에 기록하는 내장 JavaScript가 포함되어 있습니다. 아카이브 내에서 JavaScript 파일이 멀웨어 감염 체인을 시작하여 궁극적으로 Blue Banana, SambaSpy 및 SessionBot과 같은 RAT를 배포합니다. 이러한 페이로드는 자격 증명 도용, 세션 하이재킹, 감시 및 데이터 유출을 위해 설계되어 대상 조직에 심각한 위험을 초래합니다.

멀웨어는 Amazon S3와 Telegram Bot API를 통해 통신하여 합법적인 트래픽에 섞여 탐지 작업을 복잡하게 만듭니다. 이 캠페인은 피싱 필터에서 거의 조사하지 않는 파일 형식을 사용하여 기존의 방어 체계를 쉽게 우회합니다.

이 접근 방식은 최근 OSINT 보고, 기술 블로그업계 분석에서 나타나는 새로운 패턴을 반영하며, 멀웨어 로더를 삽입하고 피해자를 악성 콘텐츠로 리디렉션하는 데 SVG가 점점 더 악용되는 방식을 강조합니다.

특히, 금융 기관에서 보안 메시징을 위해 사용하는 글로벌 네트워크인 국제은행간 금융 통신협회(SWIFT)를 언급하며 SWIFT를 테마로 한 미끼를 사용한 캠페인은 금융 분야의 피해자에게 의도적으로 초점을 맞추고 있음을 시사합니다.

이러한 활동은 피싱 수법의 더 광범위한 추세를 보여줍니다. 공격자는 자격 증명 도용을 넘어 창의적이고 눈에 띄지 않는 방법을 사용하여 고급 멀웨어를 배포하는 방향으로 나아가고 있습니다. 방어자는 SVG와 같은 무해한 파일 유형도 이제 멀웨어 전달 플랫폼으로 작용할 수 있다는 점을 인식하고 그에 따라 탐지 로직과 직원 교육을 조정해야 합니다.

캠페인 내부

스푸핑된 로그인 페이지를 통해 자격 증명을 도용하는 일반적인 피싱 캠페인과 달리, 이 캠페인은 미끼에서 로더로 전환되어 이미지 파일로 보이는 것을 다단계 멀웨어 감염 체인의 시작점으로 바꾸었습니다.

초기 전달: 이미지로 위장한 미끼

캠페인의 초기 접근 단계에서는 SWIFT 글로벌 서비스를 사칭한 피싱 이메일이 수신자에게 시간이 촉박한 결제 또는 송금 확인을 유도했습니다. 합법적인 문서로 제공된 첨부 파일은 JavaScript가 포함된 무기화된 SVG였습니다.

일단 렌더링되면 피해자는 PDF 파일로 보이는 보고서를 다운로드하도록 유도됩니다. 그러나 두 PDF 중 하나를 선택하면 JavaScript가 ZIP 아카이브 파일을 시스템에 저장하도록 트리거됩니다.

피해자 조직에 전송된 SWIFT 피싱 이메일의 예
그림 1: 피해자 조직에 전송된 SWIFT 피싱 이메일의 예
렌더링된 SVG 파일의 예
그림 2: 렌더링된 SVG 파일의 예

SVG에서 멀웨어 로더까지

아카이브를 추출하고 압축을 풀면 피해자는 난독화된 자바스크립트가 포함된 Swift Transaction Report.js라는 파일을 발견하게 됩니다. 이 스크립트는 유니코드 이스케이프 인코딩과 문자열 연결 기술을 사용하여 감지를 회피하도록 설계되었습니다. 스크립트를 실행하면 Swift Confirmation Copy.jarTranzacție+în+USD-pdf.jar와 같이 심하게 난독화된 JAR(Java Archive) 파일의 다운로드가 트리거됩니다. 이들은 1단계 다운로더 역할을 했으며, Branchlock 및 Zelix KlassMaster와 같은 난독화 도구를 활용하여 정적 및 행동 분석을 회피했습니다.

IBM X-Force는 감염 체인 단계를 우회하여 JavaScript가 포함된 ZIP 파일 대신 JAR 다운로더를 드롭한 일부 SVG 샘플을 분석했습니다.

대상 시스템에 Java 런타임 환경(JRE)가 설치된 경우 로더는 일련의 환경 검사를 실행하고 시작하여 샌드박싱 또는 분석 도구를 탐지했습니다. 여기에는 시스템 프로세스, 엔트로피 및 가상화 지표 검사가 포함되었습니다. 실제 사용자 환경을 검증한 후에야 멀웨어는 2단계 페이로드를 검색하려고 시도했습니다.

이를 위해 공격자가 제어하는 Amazon S3 버킷에 접근하여 악성 다운로드를 신뢰할 수 있는 클라우드 서비스 트래픽에 통합했습니다. 일부 변종은 전송 중 탐지 가능성을 더욱 낮추기 위해 정상적으로 보이는 미끼 파일에 암호화된 페이로드를 삽입했습니다.

페이로드 실행 및 멀웨어 배포

회피 검사가 통과되면 로더는 공격자가 제어하는 Amazon S3 버킷에 아웃바운드 연결을 설정하여 암호화된 2단계 페이로드를 검색합니다. 클라우드 기반 인프라를 사용하면 amazonaws.com과 같은 서비스에 대한 트래픽이 정상적인 기업 활동과 섞이는 경우가 많기 때문에 탐지 작업이 더 복잡해졌습니다.

다음에서 페이로드가 다운로드되는 것이 관찰되었습니다.

  • octupusgreat.s3.us-east-1.amazonaws[.]com
  • seasongretting.s3.eu-west-1.amazonaws[.]com
  • seasonmonster.s3.us-east-1.amazonaws[.]com

복호화 및 압축 해제 시 멀웨어는 다음과 같은 주요 지속성 위치에 파일을 썼습니다.

  • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ — 사용자 로그인 시 실행을 보장합니다.
  • %AppData%\Microsoft\Vault\cred\ — 미끼 파일을 준비하고 유출된 데이터를 저장하는 데 사용되는 것으로 의심됩니다.

파일 기반 지속성 외에도 일부 변종은 예약된 작업을 등록하거나 레지스트리 자동 실행 키를 수정하여 시스템 재부팅 시에도 액세스를 유지했습니다. 또한 몇몇 샘플은 사용자 상호 작용에 따라 실행을 지연시키거나 기능을 게이팅하여 자동화된 샌드박싱을 통한 탐지를 더욱 복잡하게 만들었습니다.

모듈식 RAT 기능

이 캠페인에 배포된 멀웨어는 모듈식 아키텍처를 사용하여 공격자가 피해자의 환경과 목표에 따라 기능을 조정할 수 있습니다. IBM X-Force는 감시, 데이터 도난 및 지속성 능력을 중복하는 여러 페이로드를 사용하는 것을 관찰했습니다.

  • Blue Banana RAT
    난독화된 JAR 파일(windowsdefi.jar)을 통해 전달되며, Blue Banana는 원격 셸 접근, 파일 실행, 자격 증명 수집(예: FileZilla), 심지어 DDoS 공격 참여까지 가능하게 합니다. Branchlock, Zelix KlassMaster 및 Allatori Obfuscator를 사용하여 보호되어 분석이 복잡해졌습니다.
  • SambaSpy RAT
    No-IP DDNS 도메인(예: wwce.zapto[.]org)을 통해 통신하며, SambaSpy는 웹캠 접근, 키로깅, 클립보드 모니터링, 파일 조작 기능을 지원합니다. 안전한 데이터 유출을 위해 AES 암호화 채널을 사용하고 플러그인 기반 확장성을 지원합니다.
  • SessionBot 임플란트
    이 경량 임플란트(tg.jar)는 시스템 정찰을 수행하며, RDP 사용 이력, 사용자 및 네트워크 세션, 공인 IP 지리적 위치 정보 등의 세부 사항을 수집합니다. Telegram Bot API를 활용해 데이터 유출과 명령 및 제어를 수행하며, 종종 1.jar, 2.jar, 또는 recovery.jar와 같은 추가 모듈을 다운로드합니다.

또한 이 캠페인은 wscript.exe를 통해 실행되는 Outlook 표적 이메일 탈취기(email.js)를 사용했습니다. 이 도구는 Outlook 프로필을 검색하고, 받은 편지함 내용을 추출한 뒤 Telegram 기반 HTTP POST 요청을 통해 데이터 유출을 준비했습니다.

활동을 은폐하기 위해 악성코드는 정상 파일처럼 보이는 미끼 파일 (예: Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf)을 드롭했으며, 이 파일들은 실행 시 열리도록 설정되어 있었습니다. 이를 통해 사용자에게 정상적인 파일처럼 보이게 하면서, 백그라운드에서는 악성 프로세스가 실행되도록 해 정당한 동작이라는 착각을 강화했습니다.

명령 및 제어 인프라

이 캠페인은 앞서 설명한 Amazon S3 인프라 외에도 침해 후 명령 및 제어(C2)를 위해 Telegram의 Bot API를 활용했습니다. 이러한 접근 방식을 통해 위협 행위자는 기업 환경에서 일반적으로 허용되는 암호화된 메시징 인프라를 통해 감염된 호스트와 상호 작용하고, 민감한 데이터를 유출하고, 동적으로 명령을 내릴 수 있습니다.

C2 통신은 다음을 통해 라우팅되었습니다.

  • api.telegram[.]org/bot7369538001...
  • api.telegram[.]org/bot7819421465...

이러한 채널은 시스템 정찰, Outlook 받은 편지함 데이터 추출, 세션봇 및 email.js Outlook 스틸러와 같은 멀웨어 모듈의 파일 캡처에 사용되었습니다. Telegram의 사용은 익명성, 암호화 및 운영 편의성을 제공하는 동시에 기존 네트워크 모니터링을 통한 탐지를 복잡하게 만들었습니다.

클라우드 기반 페이로드 호스팅과 암호화된 메시징을 결합한 이 이중 채널 인프라 모델은 금전적 동기를 가진 위협 행위자들 사이에서 악성 트래픽을 신뢰할 수 있는 서비스에 통합해 체류 시간을 연장하고 성공 가능성을 높이는 추세를 반영합니다.

테마 변경

X-Force는 4월 말부터 SWIFT를 테마로 한 미끼를 사용하다가 금융 범죄 수사를 테마로 한 미끼로 변경한 증거를 관찰했습니다.

금융 범죄 수사 테마의 미끼를 사용하는 SVG 파일의 예
그림 3: 금융 범죄 수사 테마의 미끼를 사용하는 SVG 파일의 예

이 테마를 사용하는 SVG 파일은 디스크에 Case No.86-2025.jar라는 JAR 파일을 저장했습니다.이 JAR 파일은 SWIFT 테마 캠페인에서 사용된 것과 동일한 Java 기반 다운로더입니다. 또 다른 변경 사항으로는 Java 기반 RAT인 'STRRAT'가 포함되었으며,이는 SambaSpy 및 Blue Banana RAT과 함께 다운로드되는 것이 관찰되었습니다. STRRAT는 정보 탈취 기능과 다양한 악성 기능을 유연하게 전달할 수 있는 능력으로 잘 알려져 있습니다. 비교적 경량임에도 불구하고, STRRAT는 랜섬웨어와 유사한 동작을 모방할 수 있으며, 감염된 시스템에 대한 완전한 원격 제어 기능을 활성화할 수 있습니다.

중요한 이유

이 캠페인은 자격 증명 수집을 넘어 모듈식 멀웨어 전달, 장기 액세스 및 데이터 유출로 이어지는 피싱 거래의 광범위한 진화를 반영합니다. 위협 행위자는 보안 필터에서 종종 간과되는 형식인 SVG 파일을 악용함으로써 기존 탐지 로직의 격차를 악용하려는 의지를 보여줍니다.

SWIFT 테마의 미끼를 사용하면 금융 기관에 신중하게 초점을 맞추고 친숙함과 신뢰를 활용하여 클릭률을 높일 수 있습니다. 공격자는 클라우드 기반 인프라 및 Telegram과 같은 암호화된 메시징 채널과 결합하여 악의적인 활동을 정상 트래픽에 효과적으로 혼합하여 조기 탐지 가능성을 줄입니다.

이는 방어자에게 '안전한' 파일 형식과 정상 인프라에 대한 가정을 재평가할 필요가 있음을 강조합니다. 피싱은 더 이상 단순한 이메일 문제가 아니라 정교한 다단계 침입 공격의 진입점이 되고 있습니다. 조직은 경계를 늦추지 않고 가시성을 비전통적인 벡터로 확장하고 공격자의 혁신 속도에 맞춰 탐지 로직을 지속적으로 조정해야 합니다.

권장 사항:

조직은 엔드포인트 가시성, 보안 구성 및 사용자 교육을 결합하여 이와 같은 캠페인에 대한 노출을 줄일 수 있습니다.

  • 바이러스 백신 및 EDR 도구를 최신 상태로 유지: 탐지 엔진을 최신 상태로 유지하여 Java 기반 멀웨어와 관련된 알려진 페이로드 및 동작을 식별합니다.
  • 다단계 인증(MFA) 적용: 모든 사용자 계정, 특히 이메일, 원격 액세스 및 금융 시스템에 사용되는 계정에 MFA를 적용합니다.
  • 소프트웨어 패치를 즉시 적용: 운영 체제, Java 런타임, 브라우저 및 이메일 클라이언트의 정기적인 패치 주기를 유지하여 악용 기회를 줄입니다.
  • 기본적으로 매크로 비활성화: 명시적으로 승인 및 서명하지 않는 한 이메일 첨부 파일에서 매크로가 실행되지 않도록 합니다.
  • 최소 권한 적용: 사용자 계정 권한을 성공적인 침해의 폭발 반경을 줄이는 데 필요한 권한으로만 제한합니다.
  • 클라우드 남용 모니터링: Amazon S3와 같은 클라우드 스토리지 플랫폼에 대한 의심스러운 연결, 특히 알려지지 않았거나 잘못 구성된 버킷에 대한 연결이 있는지 아웃바운드 네트워크 트래픽을 검사합니다.
  • 직원에게 피싱 전술 교육: 의심스러운 미끼, 파일 형식 및 전달 방법을 인식하는 방법에 대해 직원, 특히 재무 및 관리자 역할을 교육합니다.

침해 지표

지표

지표 유형

컨텍스트

141e8bf99ff6b58816951ed8bfd82
1079d8082be6c02cb36f0fd1ffe4e
06e664

SHA256 파일 해시

Tranzacție+în+USD-pdf.jar(Java 다운로더)

ae345b40d165255284bf4c6ab00
a871fcb035b552ac0b20b3cfb19e4
644e49b7

SHA256 파일 해시

Swift Confirmation Copy.jar(Java 다운로더)

a4ed118f15c5c943d5964fe381f1bd
4f9ce02d4c0f0212d3f2e95a0e37e
2d1a2

SHA256 파일 해시

Case No.86-2025.jar(Java 다운로더)

6a9f195f6fa9b298b94235b9b7dfa
415f67ce29d0f5135d3e6705ae3c8
4da88b

SHA256 파일 해시

email.js(Outlook 이메일 스틸러)

8bcba87df6d459a573441fb848b9
0451d65bce3a0f2ac08844c09892
2672b734

SHA256 파일 해시

Swift Confirmation Copy.pdf(미끼 파일)

701435e822a78b82d53281af3ffb2
0b3732462ec99c6f36afdfc6f8eed
4123f9

SHA256 파일 해시

Swift Transaction Report.js(JavaScript 다운로더)

f92240185abf62317800180aba0fb
da19d8e494a693e5a223003f52a8
8e3dda8

SHA256 파일 해시

windowsdefi.jar(Blue Banana RAT)

b0dcc56ae5e90f6f2f4d05c679508
32550b05505731b298f8230f0e43e
f35c9e

SHA256 파일 해시

soso.jar(SambaSpy RAT)

bc039b022d1a60cb519ae0f43f07d
7155273867cc40ce78025959733d7
95f96f

SHA256 파일 해시

core.jar(STRAT RAT)

6ebab76c90cb36c09119a922d385
45326bb7f211d6b4b9792530e6771
67d0477 

SHA256 파일 해시

tg.jar(SessionBot 임플란트)

tcp[:]//wwce.zapto[.]org:443

도메인

SambaSpy 및 Blue Banana RAT용 C2

tcp[:]//wce.zapto[.]org:443

도메인

SambaSpy 및 Blue Banana RAT용 C2

str-master[.]pw

도메인

STRRAT용 C2

api.telegram[.]org

도메인

Telegram API를 통한 유출 및 봇 통신

https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com

URL

Amazon S3 버킷에서 호스팅되는 초기 페이로드

https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com

URL

Amazon S3 버킷에서 호스팅되는 페이로드

https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com

URL

Amazon S3 버킷에서 호스팅되는 페이로드

https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com

URL

Amazon S3 버킷에서 호스팅되는 페이로드

java -jar Tranzacție+în+USD-pdf.jar

프로세스

멀웨어 실행 명령

tasklist.exe

프로세스

악성코드가 분석 도구를 열거하는 데 사용

wscript.exe email.js

프로세스

이메일 도용 프로세스 실행

swiftzjy1@financeplus[.]me

이메일 주소

위협 행위자 이메일

swiftkbp1@farmaciafamiliei[.]md

이메일 주소

위협 행위자 이메일

swiftkcs1@farmaciafamiliei[.]md

이메일 주소

위협 행위자 이메일

swiftotb1@financeplus[.]me

이메일 주소

위협 행위자 이메일

swiftugt1@financeplus[.]me

이메일 주소

위협 행위자 이메일

swiftvqz1@financeplus[.]me

이메일 주소

위협 행위자 이메일

swiftzjy1@financeplus[.]me

이메일 주소

위협 행위자 이메일

Swift Confirmation Copy.jar

Java 아카이브 파일

초기 실행에 사용된 악성 JAR

Swift Transaction Report.js

JavaScript 파일

난독화된 JavaScript 로더

Swift Confirmation Copy.pdf

PDF 파일

초기 감염 후 표시되는 미끼 PDF 파일

IBM X-Force Premier Threat Intelligence는 이제 OpenCTI by Filigran과 통합되어, 이번 위협 활동을 포함한 실행 가능한 위협 인텔리전스를 제공합니다. 위협 행위자, 멀웨어, 업계 위험에 대한 인사이트를 확인하세요. 탐지 및 대응 능력을 강화하고 IBM X-Force의 전문 역량으로 사이버 보안을 강화하기 위해 X-Force OpenCTI Connector를 설치하세요. 지금 바로 30일 X-Force Premier Threat Intelligence 평가판을 받아보세요!

Mixture of Experts | 12월 12일, 에피소드 85

AI 디코딩: 주간 뉴스 요약

세계적인 수준의 엔지니어, 연구원, 제품 리더 등으로 구성된 패널과 함께 불필요한 AI 잡음을 차단하고 실질적인 AI 최신 소식과 인사이트를 확인해 보세요.
Mixture of Experts의 모든 에피소드 보기
관련 솔루션
위협 관리 서비스

최신 위협을 예측하고 예방하며 대응해 비즈니스 탄력성을 높이세요.

 

 위협 관리 서비스 살펴보기
위협 탐지 및 대응 솔루션

IBM 위협 탐지 및 대응 솔루션을 활용하여 보안을 강화하고 위협 탐지를 가속화하세요.

 위협 탐지 솔루션 살펴보기
모바일 위협 방어(MTD) 솔루션

IBM MAAS360의 포괄적인 모바일 위협 방어 솔루션으로 모바일 환경을 보호하세요.

 모바일 위협 방어 솔루션 살펴보기
다음 단계 안내

포괄적인 위협 관리 솔루션을 확보하여 사이버 공격으로부터 비즈니스를 효과적으로 보호하세요.

 위협 관리 서비스 살펴보기 위협 중심 브리핑 예약하기