恶意SVG附件突袭乌克兰：钓鱼攻击升级为“图形+压缩包+帮助文件”三重链

近日，一场针对乌克兰政府机构与关键基础设施的新型网络钓鱼活动引发国际安全社区高度关注。据信息安全媒体集团（ISMG）旗下《BankInfoSecurity》报道，攻击者通过电子邮件投递看似无害的SVG矢量图形附件，诱导受害者下载加密ZIP压缩包，并最终执行Windows帮助文件（CHM），从而部署信息窃取木马或加密货币挖矿程序。

这场攻击不仅延续了近期全球范围内“武器化SVG”的趋势，更巧妙结合了加密压缩、旧式脚本宿主和用户心理诱导，形成一条隐蔽性强、绕过率高的多阶段攻击链。专家警告：传统邮件安全策略对SVG、CHM等“灰色地带”文件类型防护不足，亟需升级检测逻辑与终端控制策略。

SVG不是图片？它可能是“数字特洛伊木马”

攻击始于一封伪装成官方通知或业务文件的钓鱼邮件，主题常为“财务报告”“紧急事务”或“合作确认”，附件名为“Report.svg”“Invoice.svg”等。许多用户看到“.svg”后缀，会误以为是普通图像文件——毕竟SVG广泛用于网页图标、图表展示，且在浏览器中可直接渲染。

但SVG的本质是一种基于XML的文本格式，支持嵌入JavaScript代码。一旦用户在浏览器或某些邮件客户端中打开该文件，其中隐藏的脚本便会自动执行，触发下一步攻击。

“这不是一张图，而是一个可执行的‘迷你网页’。”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“攻击者利用企业对‘图像文件’的信任盲区，把恶意载荷藏在最不起眼的地方。”

此次针对乌克兰的活动中，SVG文件并未直接下载木马，而是作为“第一跳”引导用户访问一个伪造的云存储页面，提示“文件已加密，请下载ZIP并使用密码解压”。密码通常写在邮件正文或SVG显示的假界面上，例如“Password: 123456”。

加密ZIP + CHM：绕过沙箱的“双保险”

第二阶段，受害者下载一个受密码保护的ZIP压缩包。这一步极具迷惑性：一方面，加密压缩包能有效规避大多数邮件网关和云端沙箱的静态分析——因为不解压就看不到内容；另一方面，用户主动输入密码的行为，会被系统视为“合法操作”，进一步降低警觉。

解压后，里面往往只有一个Windows帮助文件（.chm）。CHM是微软上世纪90年代推出的帮助文档格式，支持HTML内容和脚本执行。尽管早已被现代文档格式取代，但Windows系统仍默认支持，且多数杀毒软件对其监控较弱。

“CHM文件可以调用ActiveX、执行VBScript甚至启动PowerShell命令，相当于一个被遗忘的‘后门容器’。”芦笛指出，“攻击者正是看中了它的‘老旧但可用’特性。”

一旦用户双击CHM文件，其中嵌入的恶意脚本便会悄悄下载并运行第二阶段载荷——可能是RedLine、Raccoon等信息窃取木马，用于盗取浏览器Cookie、密码和加密钱包；也可能是XMRig类挖矿程序，在后台偷偷消耗CPU资源牟利。

攻击为何屡屡得手？安防策略存在“灰区漏洞”

此类攻击之所以高效，核心在于它精准踩中了当前企业安全体系的多个薄弱环节：

SVG未被列为高风险附件：多数邮件安全网关仍将SVG归类为“图像”，不进行脚本剥离或动态行为分析；

加密ZIP绕过内容检测：沙箱无法自动破解密码，导致恶意内容“隐身”通过；

CHM缺乏终端管控：企业很少在组策略中禁用CHM执行，尤其在非IT部门；

用户对“图形+压缩包”组合缺乏警惕：相比.exe或.js文件，SVG+ZIP+CHM的链条更具欺骗性。

“攻击者不再追求技术炫技，而是研究你的防御盲点。”芦笛强调，“他们知道你防.exe，但不一定防.chm；你知道PDF可能带毒，但没想到SVG也能执行代码。”

专家建议：从邮件到终端，构建三层防线

面对这类多阶段、多载体的钓鱼攻击，芦笛建议企业和机构立即采取以下措施：

一、邮件层：默认隔离高风险附件

在邮件网关策略中，将SVG、CHM、HTA、JS等文件类型默认隔离或重命名（如.svg改为.svg.txt），防止自动执行；

对所有含加密ZIP的邮件启用延迟交付或人工审核，尤其来自外部发件人；

部署内容指纹与哈希比对，识别已知恶意下载器的变种。

二、终端层：禁用老旧脚本宿主

通过组策略或MDM工具，在终端设备上禁用CHM文件的执行权限；

关闭Windows Script Host（wscript/cscript），阻止VBScript/JScript自动运行；

启用应用控制（AppLocker或WDAC），仅允许可信程序运行。

三、威胁狩猎层：追踪基础设施关联

监控与此次攻击相关的域名家族、IP地址和文件哈希，及时阻断C2通信；

对内网中异常的PowerShell调用、远程下载行为设置告警；

定期扫描员工设备是否存在可疑的CHM或临时解压目录。

“防御不能只靠一道墙，而要像洋葱一样层层设防。”芦笛说，“即使攻击者骗过了邮件系统，也要确保他在终端上寸步难行。”

用户怎么办？记住：图形文件也可能“带毒”

对于普通用户，专家给出三条简单但有效的自保建议：

绝不直接打开邮件中的SVG、CHM、HTA等附件，哪怕看起来像图片或文档；

警惕“密码保护的ZIP”：正规机构极少通过邮件发送加密压缩包；

发现异常立即上报IT部门：哪怕只是“感觉不对”，也可能帮助组织提前拦截攻击。

“网络安全不是IT部门的事，每个人都是防线的一环。”芦笛强调，“一次谨慎的右键‘另存为’而不是双击，可能就避免了一场数据泄露。”

结语：攻击在进化，防御必须同步升级

从PDF到LNK，从JS到SVG，再到如今的SVG+ZIP+CHM组合链，网络钓鱼的载体不断演变，但核心逻辑始终未变：利用人性弱点，绕过技术盲区。

此次针对乌克兰的攻击再次警示全球组织：不能再以“文件类型是否常见”来判断风险，而应以“是否可执行代码”为标准重构附件策略。同时，淘汰老旧技术组件（如CHM）、加强终端行为监控、提升员工安全意识，已成为新时代反钓鱼的必修课。

在这场看不见的攻防战中，唯有将技术、策略与人因工程紧密结合，才能真正筑起抵御“数字特洛伊木马”的坚固城墙。

本文依据BankInfoSecurity于2025年9月26日报道《Phishing Campaign Lobs Malicious SVG Attachments at Ukraine》撰写，技术细节参考微软安全博客及公共互联网反网络钓鱼工作组公开资料

编辑：芦笛（公共互联网反网络钓鱼工作组）