>
Insiktレポート

脅威アクターグループXiaoqiying/Genesis Dayが韓国と台湾を標的に

投稿: 2023年4月20日
作成者 : Insikt Group®

プライマリ ロゴ - Insikt - デジタル (RGB).png

Xiaoqiying(別名Genesis Day、Teng Snake)は、主に中国語を話す脅威グループで、2023年1月下旬に韓国の12以上の研究機関や学術機関に対してWebサイトの改ざんやデータ流出攻撃を行ったことで最もよく知られています。 Recorded FutureのInsikt Groupによる新しい調査によると、最近、グループに関連する脅威アクターが、日本と台湾の組織に対する新たなサイバー攻撃の兆候を示しています。 中国政府との明確なつながりは示されていないが、Xiaoqiyingは断固として親中であり、NATO諸国だけでなく、中国に敵対的と見なされる国や地域を標的にすると誓っている。

2023年1月25日以降、韓国のオープンソースレポートにより、Xiaoqiyingが実施した旧正月の休暇中に、韓国の12の研究機関および学術機関に属するWebサイトに対する大規模なサイバー攻撃が明らかになりました。 韓国インターネット振興院(KISA)の報告によると、12のWebサイトすべてが、侵害されたサーバーでホストされている各Webサイトを独自のWebサイトに置き換えるWebサイトの改ざんを受けました。 KISAはまた、中国、米国、シンガポール、台湾などのさまざまな国の発信元への攻撃に関連するIPアドレスを特定しました。 コリアタイムズ(koreatimes.co.kr)の 報道 によると、中国の脅威グループは、公開のテレグラムチャンネルで、KISAを潜在的な標的の1つとして含めており、脅威グループの標的となった最初の政府機関であることを明らかにしました。 他の報道では、この脅威グループが韓国の文化体育観光部を含む約2,000の政府機関を標的にすると脅迫したと主張しています。

XiaoqiyingのTelegramでの活動の分析は、2023年1月上旬に入手した2つのTelegram招待リンクに基づいています。 Genesis Day脅威グループは、2023年2月に侵害の疑いがメディアに届くまで、Telegramで活動していました。 その後、両方のTelegramチャンネルがオフラインになりました。 これらの2つのTelegramチャネルには、アナウンスチャネルとメンバーチャネルが含まれ、主に中国語を話すユーザーで構成されていました。 ダウンロードしたデータを分析した結果、脅威グループの管理者、メンバー間で共有されているツールやデータ、脅威グループが使用する戦術、技術、手順(TTP)、他の特別アクセスのサイバー犯罪者フォーラムや脅威アクターとのつながりを特定しました。 また、提案の信頼性を評価し、グループの将来の行動方針を予測しました。

Xiaoqiying-001.png

2022年12月31日に「創世記の日」が投稿した新年のメッセージは、2022年のグループの活動の要約と2023年の行動を呼びかける役割を果たしました。 英訳は以下にあります。 (出典:テレグラム)

「来年、このチャンネルは、中国に敵対的なNATO加盟国と関連国/地域に対して、これらの国々のネットワークとインフラを麻痺させるための新たな作戦を開始することを計画している。 私たちは、APT 35、Corecode [原文ママ]、アノニマス、Lapsus、Hive、パキスタンのAPT、ロシアのAPT、Solitbit.ares [原文ママ]、Prynt Stealerなど、グローバルな同盟国やAPTメンバーと積極的に協力しています。 中国のない世界は無意味な世界であり、私たちはこの国を正当な場所に取り戻そうとしているだけです。 私たちは、この新しい時代の幕開けに剣を振るうために努力しています。 あなたは私たちに参加することを歓迎します、私たちを期待してください...

皆さん、新年あけましておめでとうございます」

このグループは、2023年1月と2月に多数の韓国の組織に対する侵入が確認される前に、いくつかの未確認のサイバー攻撃に関与していると主張しました。 その結果、その信頼性は中程度と評価しています。 利用可能な侵入テストツール、マルウェア、概念実証とエクスプロイト、および漏洩したデータを共有し、世界中の有名なサイバー犯罪者やAPTグループと協力関係にあると主張しました。 このグループは野心的であるように見え、ハッキングスキルを持つ個人を積極的に採用しています。

関連する脅威アクターが特別アクセスフォーラムに投稿した最新の投稿では、日本と台湾の新たな標的を侵害した可能性があり、これらの国に対する新たなサイバー攻撃の兆候を示しています。 このグループの標的となる可能性のある組織、特にアジア太平洋地域の教育、研究機関、政府機関は、インターネットに接続するデバイスに頻繁にパッチを適用し、不要なリモートアクセスツールを無効にすることをお勧めします。

文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

関連