연구(Insikt)

샤오치잉(Xiaoqiying)/제네시스 데이(Genesis Day) 위협 행위자 그룹, 한국과 대만을 표적으로 하다

게시일: 2023년 4월 20일

작성자: Insikt Group®

샤오치잉(Xiaoqiying)/제네시스 데이(Genesis Day) 위협 행위자 그룹, 한국과 대만을 표적으로 하다

기본 로고 - 인식트 - 디지털 (RGB).png

샤오치잉(일명 제네시스 데이, 텅 스네이크)은 주로 중국어를 사용하는 위협 그룹으로, 2023년 1월 말 한국의 연구 및 학술 기관 12곳 이상을 대상으로 웹사이트 훼손 및 데이터 유출 공격을 수행한 것으로 가장 잘 알려져 있습니다. 레코디드 퓨처의 인식트 그룹의 새로운 연구에 따르면 최근 이 그룹과 연계된 위협 행위자들이 일본과 대만의 조직을 대상으로 새로운 사이버 공격의 조짐을 보이고 있는 것으로 나타났습니다. 샤오치잉은 중국 정부와 뚜렷한 연관성을 보이지는 않지만, 확고한 친중 성향의 단체로 나토 국가는 물론 중국에 적대적인 것으로 간주되는 모든 국가나 지역을 표적으로 삼겠다고 공언하고 있습니다.

2023년 1월 25일, 한국의 오픈소스 제보에 따르면 설 연휴 기간 동안 샤오치잉이 한국의 연구 및 학술 기관 12곳의 웹사이트를 대상으로 대규모 사이버 공격을 감행한 것으로 밝혀졌습니다. 한국인터넷진흥원(KISA) 보고서( & )에 따르면, 12개 웹사이트 모두 공격자가 손상된 서버에서 호스팅된 웹사이트를 자신의 웹사이트로 교체하는 웹사이트 훼손을 겪었습니다. 또한, KISA는 공격과 연관된 IP 주소가 중국, 미국, 싱가포르, 대만 등 다양한 국가 내 발원지로 확인했습니다. 한국일보(koreatimes.co.kr)의 보도에 따르면, 중국 위협 그룹은 공개 텔레그램 채널에 KISA를 잠재적 공격 대상 중 하나로 포함했으며, 이는 위협 그룹의 첫 번째 정부 기관 표적 공격이라고 밝혔습니다. 다른 보고서에서는 이 위협 그룹이 한국의 문화체육관광부를 포함한 약 2,000개의 정부 기관을 표적으로 삼았다고 주장했습니다.

샤오치잉의 텔레그램 활동 분석은 2023년 1월 초에 입수한 텔레그램 초대 링크 2개를 기반으로 합니다. 제네시스 데이 위협 그룹은 2023년 2월까지 텔레그램에서 활동했으며, 침해 혐의 소식이 언론에 보도되기 전까지 텔레그램에서 활동했습니다. 그 후 두 텔레그램 채널이 모두 오프라인 상태가 되었습니다. 이 2개의 텔레그램 채널은 공지 채널과 회원 채널로 구성되어 있으며, 주로 중국어를 사용하는 사용자들로 구성되어 있습니다. 다운로드한 데이터를 분석하여 위협 그룹의 관리자, 구성원 간에 공유되는 도구 및 데이터, 위협 그룹이 사용하는 전술, 기법 및 절차(TTP), 다른 특수 액세스 사이버 범죄 포럼 및 위협 행위자와의 연결 고리를 파악했습니다. 또한 제안의 신뢰성을 평가하고 그룹의 향후 행동 방침을 예측했습니다.

샤오치잉-001.png

2022년 12월 31일 '제네시스의 날'에 게시된 신년 메시지는 2022년 그룹의 활동을 요약하고 2023년을 위한 행동을 촉구하는 역할을 했습니다. 영어 번역은 아래에 제공됩니다. (출처: 텔레그램)

"내년에 이 채널은 중국에 적대적인 나토 회원국 및 관련 국가/지역을 대상으로 또 다른 작전을 개시하여 이들 국가의 네트워크와 인프라를 마비시킬 계획입니다. 저희는 글로벌 동맹 및 APT 멤버들과 적극적으로 협력하고 있으며, 파트너로는 APT 35, Corecode [원문], Anonymous, Lapsus, Hive, 파키스탄 APT, 러시아 APT, Solitbit.ares [원문], Prynt Stealer, .... 등이 있으며 이에 국한되지 않습니다. 중국이 없는 세상은 무의미한 세상이 될 것이며, 우리는 이 나라를 정당한 위치로 회복시키려는 것뿐입니다. 우리는 이 새로운 시대의 여명기에 칼을 휘두르기 위해 노력합니다. 여러분을 환영합니다, 기대해주세요 ...

모두 새해 복 많이 받으세요"

이 그룹은 2023년 1월과 2월에 다수의 한국 기관에 대한 침입이 확인되기 이전에, 확인되지 않은 사이버 공격을 초래했다고 주장했습니다. 그 결과 Recorded Future는 그 신뢰도를 보통으로 평가했습니다. 이 그룹은 사용 가능한 침투 테스트 도구, 맬웨어, 개념 증명 및 익스플로잇, 유출된 데이터를 공유했으며, 전 세계 유명 사이버 범죄 및 APT 그룹과 협력 관계를 맺고 있다고 주장했습니다. 야심 찬 모습을 보이는 이 그룹은 해킹 기술을 가진 개인을 적극적으로 모집하고 있습니다.

샤오치잉과 연계된 위협 행위자들이 최근 특별 액세스 포럼에 올린 게시물을 보면 일본과 대만의 새로운 표적에 위험을 끼쳤을 가능성이 있으며, 이들 국가에 대한 새로운 사이버 공격의 시작을 예고하고 있습니다. 특히 아시아 태평양 지역의 교육, 연구 및 정부 기관과 같이 이 그룹의 표적이 될 가능성이 있는 조직은 인터넷에 연결된 디바이스에 대한 패치를 자주 적용하고 불필요한 원격 액세스 도구를 비활성화하는 것이 좋습니다.

각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.