<분석 개요>
최근 북한의 해킹 그룹 ScarCruft(APT37)에서 패스워드로 위장한 도움말 파일(.CHM) 악성코드를 국내를 대상으로 유포하고 있는 것이 발견되었다. 악성코드 파일은 메일에 첨부되어 유포되고 있으며,암호가 걸린 문서 파일을 같이 동봉하여 악성코드 실행을 유도하는 방법을 사용하고 있다.최종적으로 실행되는 악성코드는 "Chinotto"이름으로 불리는 백도어 프로그램이며, DLL, PowerShell 등 여러가지 실행 포맷을 사용하고 있는 것으로 확인되었다.
<악성코드 순서도>