Http://hmcks.realma.r-e.kr/gl/ee.txt

Kimsuky 그룹, 약력 양식 파일로 위장한 악성코드 유포 (GitHub) - ASEC BLOG 관련 IOC 5개 발견

안랩 보안 응급 응답 센터(ASEC)는 이력서 양식을 가장한 이메일을 확인하였습니다. 문서에는 비밀번호가 설정되어 있으며 활성화되면 C2에 연결하고 스크립트를 다운로드합니다. 악성코드는 브라우저에 저장된 사용자 정보를 수집하고 특정 GitHub 레포지토리로 전송합니다. Red Eyes 공격그룹인 APT37과 ScarCruft도 GitHub을 악성코드 배포 사이트로 사용하는 것으로 밝혀졌습니다. 사용자들은 악성 스크립트의 변경에 대해 더욱 주의해야합니다.

Ahnlab
Kimsuky Group, Disguised as Resume Form File and Spreading Malicious Code (GitHub) - ASEC BLOG

AhnLab Security Emergency Response Center (ASEC) has confirmed an email with a malicious Word document pretending to be a resume form. The document has a password set, and when activated, it connects to C2 and downloads scripts. The malware collects user information stored in the browser and sends it to a specific GitHub repository. Red Eyes attack groups, also known as APT37 and ScarCruft, have been found using GitHub as a malicious code dissemination site. Users should be extra cautious of malicious scripts changing.
https://asec.ahnlab.com/ko/50275/