- 콜롬비아 법무장관실을 사칭하는 이메일은 SVG 첨부 파일을 미끼로 배포합니다.
- 피해자별 "맞춤형" 파일, 자동화 및 AI 사용 증거로 인해 감지가 복잡해집니다.
- 감염 체인은 DLL 사이드로딩을 통해 AsyncRAT를 배포함으로써 끝납니다.
- 44월 이후로 500개의 고유한 SVG와 XNUMX개 이상의 유물이 발견되었지만, 초기 감지율은 낮았습니다.
라틴 아메리카에서는 콜롬비아를 진원지로 삼은 악의적인 캠페인의 물결공식 기관에서 보낸 것처럼 보이는 이메일이 컴퓨터를 감염시키는 비정상적인 파일을 배포하는 경우입니다.
후크는 항상과 같습니다.거짓 소환장이나 소송을 통한 사회 공학—, 하지만 전달 방식은 한 단계 더 발전했습니다. AI 지원 프로세스를 가리키는 내장 로직, 자동화된 템플릿 및 신호가 포함된 SVG 첨부 파일.
콜롬비아 사용자를 타깃으로 한 작전
메시지가 사칭됩니다 법무장관실과 같은 기관 .svg 파일을 포함하는데, 이 파일의 크기는 종종 10MB를 넘기 때문에 이미 의심을 불러일으킬 만합니다. 파일을 열면 정상적인 문서 대신 공식 절차를 시뮬레이션하는 인터페이스 진행률 표시줄과 검증 기능이 포함되어 있습니다.
몇 초 후에 브라우저 자체가 다음을 저장합니다. 비밀번호로 보호된 우편번호동일한 파일 내에 명확하게 표시되어 "공식적인" 절차의 단계적 구성을 강화합니다. 분석된 샘플 중 하나에서(SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), ESET 보안 솔루션은 이를 다음과 같이 식별했습니다. JS/트로잔드로퍼.에이전트.PSJ.
배송물은 단일 첨부 파일로 대량이 아닙니다. 각 수신자는 다른 SVG를 받습니다.무작위 데이터로 인해 고유성이 부여됩니다. 이러한 "다형성"은 자동 필터링과 분석가의 작업을 모두 어렵게 만듭니다.
원격 측정 결과 8월은 주중 활동이 가장 활발하다콜롬비아에 있는 사용자들에게서 발생률이 더 높은 것으로 보아, 해당 국가를 타겟으로 한 지속적인 캠페인이 이루어지고 있음을 시사합니다.
SVG 파일의 역할과 밀수 수법
SVG는 XML 기반 벡터 이미지 형식. 이러한 유연성(동일한 파일 내의 텍스트, 스타일 및 스크립트)을 통해 공격자는 다음을 통합할 수 있습니다. 숨겨진 코드와 데이터 눈에 보이는 외부 리소스가 필요 없는 "SVG 밀수"라는 기술이 있으며 MITRE ATT&CK에 문서화되어 있습니다.
이 캠페인에서는 사기가 SVG 자체 내에서 실행됩니다. 가짜 정보 페이지가 렌더링됩니다 감염의 다음 단계를 시작하는 실행 파일이 포함된 ZIP 패키지를 브라우저가 저장하도록 하는 컨트롤과 메시지가 포함되어 있습니다.
피해자가 다운로드한 콘텐츠를 실행하면 체인이 진행됩니다. DLL 사이드로딩: 합법적인 바이너리가 감지되지 않은 조작된 라이브러리를 무의식적으로 로드하여 공격자가 침입을 계속할 수 있도록 합니다.
최종 목표는 설치하는 것입니다 비동기화키로깅, 파일 추출, 화면 캡처가 가능한 원격 액세스 트로이 목마 카메라와 마이크 제어 브라우저에 저장된 자격 증명을 훔칩니다.
템플릿의 자동화 및 AI 발자국
분석된 SVG의 마크업은 다음과 같습니다. 일반적인 구문, 빈 레이아웃 필드 및 지나치게 설명적인 클래스, 눈에 띄는 대체품 외에도 - 예: 이모티콘으로 공식 상징을 표현하다— 실제 포털에서는 사용하지 않는 것입니다.
명확한 비밀번호와 가정된 "확인 해시"도 있습니다. 그것은 MD5 문자열에 불과합니다. 실질적인 타당성 없이. 모든 것이 조립식 키트나 자동 생성된 템플릿 최소한의 인력으로 연속적으로 부착물을 생산합니다.
회피 및 캠페인 수치
샘플 공유 플랫폼은 최소한 다음을 계산했습니다. 44개의 고유한 SVG 운영에 종사하는 직원 및 그 이상 500월 중순 이후 관련 유물 XNUMX여 점첫 번째 변종은 크기가 25MB 정도로 매우 크고 시간이 지남에 따라 "조정"되었습니다.
통제를 피하기 위해 샘플은 다음을 사용합니다. 난독화, 다형성 및 대량의 블로트 코드 정적 분석을 혼란스럽게 만들어 결과적으로 낮은 초기 감지율 여러 엔진에 의해.
사용 XML 내의 스페인어 마커 반복되는 패턴을 통해 연구자들은 추적 규칙과 특징을 만들어낼 수 있었고, 이를 소급적으로 적용하여 수백 건의 배송을 동일한 캠페인과 연결할 수 있었습니다.
두 번째 벡터: 결합된 SWF 파일
동시에 관찰되었다 3D 미니게임으로 위장한 SWF 파일기능 논리와 불투명한 구성 요소를 혼합한 ActionScript 모듈 및 AES 루틴을 사용하는 전술 휴리스틱 임계값을 높입니다 악성으로 분류되는 것을 지연시킵니다..
El SWF+SVG 듀오가 공연했습니다. 기존 형식과 현대 형식 간의 연결: SWF가 엔진을 혼란스럽게 하는 동안 SVG가 인코딩된 HTML 피싱 페이지를 주입했습니다. 그리고 첫 번째 클릭 이후 사용자 상호 작용이 전혀 없는 추가 ZIP을 남겼습니다.
의 조합 피해자별 개인화된 샘플, 대용량 파일 및 밀수 기술은 다음을 설명합니다. 평판이나 간단한 패턴을 기반으로 하는 필터 첫 번째 확산의 확산을 막지 못했습니다.
이러한 결과가 도출하는 것은 작업입니다. SVG 형식을 최대한 활용하여 콜롬비아 조직을 사칭하세요., 첨부 파일 생성을 자동화하고 DLL 사이드로딩을 통해 AsyncRAT으로 마무리됩니다. .svg 파일이나 명확한 비밀번호가 포함된 "소환장" 이메일을 받으면 의심하고 공식 채널을 통해 검증 무엇이든 열기 전에.
나는 그의 "괴짜" 관심을 직업으로 바꾼 기술 열광자입니다. 나는 10년 넘게 최첨단 기술을 사용하고 순수한 호기심으로 온갖 프로그램을 만지작거리며 살아왔습니다. 이제 저는 컴퓨터 기술과 비디오 게임을 전공했습니다. 왜냐하면 저는 5년 넘게 기술 및 비디오 게임에 관한 다양한 웹사이트에 글을 쓰고 모든 사람이 이해할 수 있는 언어로 필요한 정보를 제공하려는 기사를 작성해 왔기 때문입니다.
질문이 있으시면 제가 알고 있는 지식은 Windows 운영 체제는 물론 휴대폰용 Android까지 다양합니다. 그리고 저는 여러분을 위한 헌신을 하고 있습니다. 저는 항상 몇 분씩만 시간을 내어 이 인터넷 세계에서 여러분이 가질 수 있는 모든 질문을 해결하도록 도와드릴 의향이 있습니다.