개요
끊임없이 진화하는 사이버 보안 환경에서 공격자들은 기존 방어 체계를 우회할 새로운 방법을 끊임없이 모색합니다. 가장 최신이면서도 가장 교활한 방법 중 하나는 다음과 같습니다. SVG (Scalable Vector Graphics)— 일반적으로 웹사이트와 애플리케이션의 깔끔하고 확장 가능한 이미지와 관련된 파일 형식입니다. 하지만 SVG는 겉보기에는 무해해 보이지만, 정교한 실행을 가능하게 하는 위협적인 스크립트를 포함하고 있을 수 있습니다. 피싱 공격.
이 블로그에서는 SVG가 어떻게 무기화되는지, 왜 종종 탐지되지 않는지, 그리고 조직이 스스로를 보호하기 위해 무엇을 할 수 있는지 알아봅니다.
SVG: 단순한 이미지 그 이상
SVG 파일은 JPEG나 PNG와 같은 표준 이미지 형식과 근본적으로 다릅니다. SVG는 픽셀 데이터를 저장하는 대신 XML 기반 코드 벡터 경로, 도형 및 텍스트를 정의할 수 있습니다. 따라서 품질 저하 없이 확장 가능하므로 반응형 디자인에 이상적입니다. 하지만 이 동일한 구조를 통해 SVG는 내장된 JavaScript브라우저에서 파일을 열 때 실행될 수 있습니다. 이는 많은 Windows 시스템에서 기본적으로 실행되는 기능입니다.
배송
- 이메일 첨부 파일: 설득력 있는 제목과 발신자 사칭을 사용한 스피어피싱 이메일을 통해 전송되었습니다.
- 클라우드 스토리지 링크: Dropbox, Google Drive, OneDrive 등을 통해 공유하며, 종종 이메일 필터를 우회합니다.
이 그림은 SVG 피싱 공격 체인을 4단계로 구분하여 보여줍니다. 겉보기에 무해한 SVG 첨부 파일이 포함된 이메일로 시작하여, 이 첨부 파일을 열면 브라우저에서 JavaScript가 실행되고, 궁극적으로 사용자를 자격 증명을 훔치도록 설계된 피싱 사이트로 리디렉션합니다.
공격 작동 방식:
타겟 사용자가 SVG 첨부 파일을 받고 이메일을 열면, SVG 파일을 처리하기 위한 특정 애플리케이션이 설정되어 있지 않는 한 해당 파일은 일반적으로 기본 웹 브라우저에서 실행되어 내장된 스크립트를 즉시 실행할 수 있습니다.
공격자는 일반적으로 다음과 같은 사기성 제목을 사용하여 피싱 이메일을 보냅니다. "예약된 이벤트 7212025에 대한 알림.msg" or “회의-알림-7152025.msg”무해해 보이는 첨부 파일과 함께 “다가오는 회의.svg” or “당신의 할 일 목록.svg” 의심을 피하기 위해 SVG 파일에 내장된 JavaScript가 열리면 피해자를 자동으로 다음 위치로 리디렉션합니다. 피싱 Microsoft 365나 Google Workspace와 같은 신뢰할 수 있는 서비스를 매우 유사하게 모방한 사이트입니다. 그림과 같이
분석된 SVG 샘플에서 공격자는 다음을 포함합니다. tag within the SVG, using a CDATA section to hide malicious logic. The code includes a long hex-encoded string (Y) and a short XOR key (q), which decodes into a JavaScript payload when processed. This decoded payload is then executed using window.location = ‘javascript:’ + v;, effectively redirecting the victim to a phishing site upon opening the file. An unused email address variable (g.rume@mse-filterpressen.de) is likely a decoy or part of targeted delivery.
복호화 결과, 우리는 c2c 피싱 링크를 발견했습니다.
hxxps://hju[.]yxfbynit[.]es/koRfAEHVFeQZ!bM9
해당 링크는 Cloudflare CAPTCHA 게이트로 보호되는 피싱 사이트로 연결됩니다. 확인란에 체크하면 사용자 본인임을 확인하고, 이후 공격자가 제어하는 악성 페이지로 리디렉션됩니다.
이 페이지에는 진짜처럼 보이는 Office 365 로그인 양식이 포함되어 있어 피싱 그룹이 사용자의 이메일과 비밀번호 자격 증명을 동시에 캡처하고 확인할 수 있습니다.
결론: SVG 기반 위협에 앞서 나가기
공격자들이 끊임없이 혁신을 거듭함에 따라, 조직은 SVG와 같이 겉보기에 무해한 파일 형식에 숨겨진 위험을 인지해야 합니다. 보안 팀은 다음과 같은 조치를 취해야 합니다.
- 구현 심층적인 콘텐츠 검사 SVG 파일의 경우.
- 신뢰할 수 없는 출처의 SVG에 대한 자동 브라우저 렌더링을 비활성화합니다.
- 직원들에게 익숙하지 않은 첨부 파일을 여는 것의 위험성에 대해 교육하세요.
- 이메일과 웹 트래픽에서 비정상적인 리디렉션과 스크립트 활동을 모니터링합니다.
SVG는 개발자에게는 강력한 도구일 수 있지만, 잘못된 손에 들어가면 사이버 범죄자들의 강력한 무기가 될 수 있습니다. 이러한 새로운 위협에 앞서 나가기 위해서는 보안 인식과 선제적 방어가 필수적입니다.
IOC
c78a99a4e6c04ae3c8d49c8351818090
f68e333c9310af3503942e066f8c9ed1
2ecce89fa1e5de9f94d038744fc34219
6b51979ffae37fa27f0ed13e2bbcf37e
4aea855cde4c963016ed36566ae113b7
84ca41529259a2cea825403363074538
저자 :
소우멘 버마
루마나 시디키
