Acronis Threat Research Unit (TRU) har identifierat en avancerad kampanj med skadlig kod som utnyttjar SVG-filer (Scalable Vector Graphics) som initial attackvektor.
Kampanjen, som fått namnet Shadow Vector, har hittills främst riktats mot användare i Colombia, men de taktiker, tekniker och metoder som observerats innebär en hög risk för att angreppssättet sprids vidare till Europa och andra regioner.
Kampanjen kombinerar filfri exekvering, utnyttjande av offentlig infrastruktur och dold privilegieeskalering – vilket väcker oro för organisationer med digitalt uppkopplade miljöer.
Officiella skendokument och betrodda filformat
Shadow Vector-aktörerna utger sig för att vara officiella institutioner och distribuerar nätfiskemejl med lösenordsskyddade SVG-bilagor. Dessa filer återger officiellt utformade skendokument direkt i webbläsaren och bäddar samtidigt in länkar till JavaScript- eller VBS-laddare som lagts upp på offentliga plattformar som Bitbucket, Dropbox och Internet Archive.
När de aktiveras inleder dessa laddare en infekteringskedja i flera steg, som slutligen installerar fjärråtkomsttrojaner (RATs) som AsyncRAT och RemcosRAT. Skadlig kod levereras via DLL-sidoladdning och utnyttjande av sårbara drivrutiner för att höja privilegier – vilket gör det möjligt för angriparen att ta full kontroll över systemet med minimal spårbarhet.
Avancerade tekniker visar på hög mognadsgrad
Kampanjen kännetecknas av teknisk sofistikation och inkluderar bland annat:
- DLL-sidoladdning och utnyttjande av drivrutiner i kärnläge
- Filfri exekvering via in-memory .NET-laddare
- UAC-kringgående genom Windows-verktyg som cmstp.exe
- Obfuskering med Base64-kodade skript och nyttolaster gömda i bild- eller textfiler
- Skydd mot analys, inklusive sandlådedetektering och kringgående av felsökare
Även om den inledande vågen av attacker fokuserat på Colombia, är metoderna mycket portabla. Användningen av betrodda filformat som SVG och offentlig infrastruktur ligger nära den tekniska miljön inom Europa. Dessutom tyder debug-strängar och laddarparametrar på portugisiska på att delar av koden återanvänds från brasilianska brottsverktyg – något som pekar på möjlig samverkan eller delat ekosystem mellan aktörer.
Relevans för europeiska verksamheter
Den infrastruktur som Shadow Vector utnyttjar – molnlagring, skriptmotorer och inbyggda Windows-funktioner – är utbredd inom europeiska företag. Denna överlappning gör det sannolikt att liknande attacker kan uppstå i regionen, anpassade till lokala förhållanden och målgrupper. Branscher med distribuerade system, som tillverkning, logistik, finans och offentlig sektor, kan vara särskilt utsatta på grund av kampanjens modulära nyttolaster, fjärrövervakning och fokus på inhämtning av inloggningsuppgifter.
Rekommendationer till organisationer
För att minska riskerna med denna kampanj och dess möjliga varianter bör organisationer:
- Inspektera ovanliga bilagetyper, inklusive SVG-filer, i flera lager
- Blockera exekvering av osignerade skript och DLL-filer på klienter
- Segmentera affärskritiska system och tillämpa strikt åtkomstkontroll
- Övervaka schemalagda uppgifter och registerbaserad persistens
- Detektera exekvering i minnet och misstänkt åtkomst till autentiseringsuppgifter med beteendebaserad analys
Om Acronis Threat Research Unit (TRU)
Acronis TRU skyddar över 450 miljoner digitala identiteter och driver tolv globala säkerhetscenter (Security Operations Centers, SOCs), bemannade av fler än 3 100 cybersäkerhetsspecialister. Med djup expertis och global räckvidd ligger TRU i framkant när det gäller att identifiera nya hot och stärka företags cyberresiliens.
