Xiaoqiying (также известная как Genesis Day, Teng Snake) - это преимущественно китайскоязычная угрожающая группа, которая наиболее известна тем, что в конце января 2023 года совершила атаки по повреждению веб-сайтов и утечке данных на более чем десяток южнокорейских исследовательских и академических учреждений. Новое исследование компании Recorded Future's Insikt Group показало, что в последнее время аффилированные с группой угрозы подали сигнал о новом раунде кибератак на организации в Японии и Тайване. Несмотря на отсутствие явных связей с китайским правительством, Xiaoqiying выступает за Китай и клянется атаковать страны НАТО, а также любые страны и регионы, которые считаются враждебными Китаю.
Xiaoqiying APT
С 25 января 2023 года, по сообщениям из открытых источников из Южной Кореи, Xiaoqiying совершила массовую кибератаку на веб-сайты 12 южнокорейских исследовательских и академических учреждений во время празднования Нового года по лунному календарю. Согласно отчетам Корейского агентства Интернета и безопасности (KISA), все 12 веб-сайтов пострадали от подмены сайтов, когда противники заменили каждый размещенный сайт своим собственным на взломанном сервере. KISA также определило, что IP-адреса, связанные с атакой, принадлежат различным странам, таким как Китай, США, Сингапур и Тайвань. Согласно сообщению The Korea Times (koreatimes.co.kr), китайская группа угроз сообщила на своем публичном канале Telegram, что она включила KISA в число своих потенциальных целей, и это первое государственное учреждение, ставшее объектом атаки группы угроз. В других сообщениях утверждалось, что группа угроз нацелилась на около 2 000 государственных учреждений, включая Министерство культуры, спорта и туризма Южной Кореи.
Анализ Recorded Future активности Xiaoqiying в Telegram основан на 2 пригласительных ссылках Telegram, полученных в начале января 2023 года. Угрожающая группа Genesis Day была активна в Telegram до февраля 2023 года, когда новости о ее предполагаемых нарушениях попали в СМИ. Затем оба канала Telegram ушли в офлайн. Эти два канала Telegram включали канал объявлений и канал участников и состояли в основном из китайскоговорящих пользователей. Проанализировав загруженные данные, мы определили администраторов угрожающей группы, инструменты и данные, которыми обменивались ее члены, тактику, методы и процедуры (ТТП), используемые угрожающей группой, и связи с другими киберпреступными форумами со специальным доступом и субъектами угроз. Мы также оценили достоверность предложений и спрогнозировали будущий курс действий группы.
Группа заявила, что она ответственна за некоторые непроверенные кибератаки до подтвержденных вторжений в многочисленные южнокорейские организации в январе и феврале 2023 года. В результате мы оцениваем ее надежность как умеренную. Группа поделилась доступными инструментами тестирования на проникновение, вредоносным ПО, концептуальными доказательствами и эксплойтами, а также утечкой данных и заявила, что имеет рабочие отношения с некоторыми известными киберпреступниками и APT-группами по всему миру. Судя по всему, группа амбициозна и активно набирает людей с навыками взлома.
Последние сообщения аффилированных с ней субъектов угроз на форумах со специальным доступом показывают, что она, возможно, скомпрометировала новые цели в Японии и Тайване и сигнализирует о новом раунде кибератак против этих стран. Мы рекомендуем организациям, которые могут стать мишенью этой группы, особенно образовательным, исследовательским и правительственным организациям в Азиатско-Тихоокеанском регионе, поддерживать частый цикл исправлений для своих устройств, выходящих в Интернет, и отключить все ненужные инструменты удаленного доступа.
Indicators of Compromise
Domains
- aspg.or.kr
- kewms.co.kr
- klsgss.or.kr
- kmhs.newnonmun.com
URLs
- http://114.108.133.70:7001/wls-wsat/index.html
- http://211.220.216.122:8015/wls-wsat/index.html
- http://211.56.76.12:11001/wls-wsat/index.html
- http://222.107.71.133:8111/wls-wsat/index.html
- http://61.79.234.100:7002/wls-wsat/index.html
- cleftlp.or.kr/pages/index.php
- kriece.or.kr/pages/index.php
- oorimal.org/pages/index.php