스카 크룩의 진화하는 무기고: 연구자들이 새로운 멀웨어 배포 기술을 밝힙니다
북한의 APT 행위자인 ScarCruft가, 추가 멀웨어를 다운로드하기 위해 무장한 Microsoft Compiled HTML Help (CHM) 파일을 사용하고 있다. AhnLab, SEKOIA.IO, 그리고 Zscaler의 보고서에 따르면, 이 그룹은 보안 조치를 회피하기 위해 연속적으로 전략을 개선하고 있다. 지난 달에는 HWP 파일을 사용하여 백도어를 배포했고, 지금은 CHM, HTA, LNK, XLL 및 오피스 문서를 사용하여 한국의 대상을 공격하고, PowerShell 기반의 인플레이트인 Chinotto를 통해 데이터를 유출하는 데 사용된다. Chinotto는 스크린샷을 캡처하고 키보드 입력을 기록하는 능력이 있다.
ScarCruft’s Evolving Arsenal: Researchers Reveal New Malware Distribution Techniques
ScarCruft, an APT actor from North Korea, is using weaponized Microsoft Compiled HTML Help (CHM) files to download additional malware. Reports from AhnLab, SEKOIA.IO, and Zscaler have shown that the group is continually refining its tactics to bypass security measures. Last month, they employed HWP files to deploy a backdoor, and now they are using CHM, HTA, LNK, XLL, and Office documents to target South Korean victims to exfiltrate data via a PowerShell-based implant known as Chinotto which has the capability to capture screenshots and log keystrokes.
https://thehackernews.com/2023/03/scarcrufts-evolving-arsenal-researchers.html