Security trend

We will deliver the up-to-date security information timely.

[보안이슈] 중국 해커 조직, 한국 정부‧공공‧학회‧기업 대상 2천여 개 홈페이지에 대한 해킹 선언

2023-01-26

□ 개요

- 1월 20일, 중국 국적의 해커 조직으로 추정되는 ‘샤오치잉(Xiaoqiying, 晓骑营)'이 대한건설정책연구원을 해킹하고 관련 정보를 공식 블로그(晓骑营 EISAE 공식 블로그)에 게시하면서 한국 2천개의 정부, 공공기관, 협회, 기업을 대상으로한 전방위적 공격을 예고함

[그림 1] 晓骑营 EISAE 공식 블로그 게시글(번역: 대외활동 2 - 제2023-2호 - 대한건설정책연구원)

[그림 2] 晓骑营 EISAE 공식 블로그에 게시된 대한건설정책연구원 유출 정보

- 해킹그룹의 Telegram 채널 개설일은 2022년 12월 27일이며, 해당 채널을 통해 입장표명과 작업 성과를 공개하고 있음

- 1월 24일 새벽 3시, 한국인터넷진흥원(KISA)을 타깃으로 사이버공격을 하겠다고 예고함

- 1월 25일, KISA는 샤오치잉 공격 조직에 의해 총 12개 기관 홈페이지가 해킹된 것을 확인하였다고 보고함. 이에 대해 샤오치잉은 텔레그램 채널을 통해 한국 정부가 발표한 12개 기관보다 침해된 사이트는 훨씬 많다고 주장

□ 공격에 사용된 도구

- Nuclei: Community Powered Vulnerability Scanner(https://github.com/projectdiscovery/nuclei)

- 웹방화벽 로그에서 [그림 3]과 같은 페이로드가 확인됨에 따라 오픈소스 취약점 스캐너인 nuclei 도구를 사용하여 스캐닝을 수행한 것으로 판단할 수 있음

GET /pmb/opac_css/getgif.php?chemin=../../../../../../etc/passwd&nomgif=nuclei HTTP/1.1

GET /carbon/admin/login.jsp?msgId=%27%3Balert(%27nuclei%27)%2F%2F HTTP/1.1

[그림 3] nuclei 스캐닝 로그

□ 샤오치잉(Xiaoqiying, 晓骑营)

- 중국 진나라 시절 군사조직에서 이름을 딴 ‘샤오치잉(Xiaoqiying, 晓骑营)’은 중국 국적의 해커 조직으로 추정되며, 스스로를 '사이버 시큐리티 팀(CYBER SECURITY TEAM)'이라고 자칭

- 지난해 12월 28일, 쓰촨성 탄광 플랫폼을 해킹을 시작으로 활동을 본격화하기 시작하였으며, 올해 1월 7일에는 한국에 대한 전방위적 장기 데이터 유출 작전을 펼치겠다고 선언

- 중국 정부를 배후에 둔 것이 아닌, 자유로운 그룹이라고 주장하면서 "한국의 몇몇 스트리밍 스타들이 짜증나게 했다"는 것을 이유로 한국을 팀원들의 훈련장으로 사용할 것이라고 밝힘

□ 타임라인

2022.12.27 ‘晓骑营’ 샤오치잉이란 조직명으로 활동 시작

2023.01.07 한국에 대한 데이터 유출 작전 공표

2023.01.17 삼성 내부 해킹 및 데이터 탈취 주장

2023.01.20 한국 언론사 30개 공격 예고

2023.01.20 대한건설정책연구원 웹사이트 해킹 및 내부 연구원 데이터 유출 공개

2023.01.20 한국 공공 및 정부 네트워크 공격 선언, 공격 타겟 한국 정부 도메인 2300여개 조직내 공유

2023.01.20 동아시아연구원 데이터베이스 해킹

2023.01.21 한국 교육, 과학, 바이오, 의학 등 연구원 및 협회, 정부, 서울시 해킹 및 데이터 탈취 주장

2023.01.23 한국 정부 부처 데이터 54GB 유출 주장

2023.01.24 교육 관련 70여개 사이트 해킹 주장 및 데이터 유출 공개

2023.01.24 KISA 공격 예고

2023.01.25 KISA는 대한건설정책연구원을 포함해 12개 기관 홈페이지에서 해킹이 이뤄진 것을 확인했다고 보고

2023.01.25 샤오치잉은 텔레그램 채널을 통해 한국 정부가 발표한 12개 기관보다 침해된 사이트는 훨씬 많다고 주장

□ 피해 사이트

KISA에서 공식적으로 피해 사실을 확인한 12개 기관과 공격자가 샘플로 제공한 일부 피해 기관 목록은 다음과 같음

No	사이트명	도메인명	비고
1	대한건설정책연구원	www.ricon.re.kr	Confirmed
2	우리말학회	www.woorimal.org	Confirmed
3	한국학부모학회	www.aspg.or.kr, aspg.or.kr	Confirmed
4	한국교원대학교 유아교육연구소	kriece.or.kr	Confirmed
5	한국고고학회	kras.or.kr	Confirmed
6	한국보건기초의학회	kmhs.newnonmun.com	Confirmed
7	한국사회과수업학회	www.klsgss.or.kr, klsgss.or.kr	Confirmed
8	한국동서정신과학회	kewms.co.kr	Confirmed
9	대한구순구개열학회	www.cleftlp.or.kr, cleftlp.or.kr	Confirmed
10	한국시각장애교육재활학회	www.kaer.or.kr, kaer.or.kr	Confirmed
11	제주대학교 교육과학연구소	edusci.jejunu.ac.kr	Confirmed
12	한국교육원리학회	www.edaca.kr, edaca.kr	Confirmed
13	삼육대학교 신학연구소	syutheology.or.kr
14	고령자·치매작업치료학회	otad.or.kr
15	한국기술교육학회	ktea.or.kr
16	한국열환경공학회	www.kstee.or.kr
17	한국교원교육학회	www.ksste.or.kr
18	한국교정상담심리학회	kccpaone.or.kr
19	한국미술치료학회	www.korean-arttherapy.or.kr
20	대한치과교정학회	kao.or.kr
21	사단법인 한국가족치료학회	www.familytherapy.or.kr/kaft/
22	대한고령친화산업학회	www.kr-kafa.org, www.ot-kapa.co.kr
23	서원대학교 교육연구소	www.seowon.ac.kr/eri
24	한국교육정치학회	ekspe.or.kr
25	한국교육학회	ekera.org
26	한국노년학연구	journal.kjrg.newnonmun.com
27	한국아동심리치료학회	kacpt.or.kr
28	학지사 뉴논문	ekspe.newnonmun.com
29	한국보육지원학회	www.educarechild.org
30	-	krcd.or.kr

□ IoC

KISA에서 공유한 공격자 IP 정보는 다음과 같음

No	IP	Country	비고
1	8.213.132[.]75	싱가포르	SQL 인젝션
2	5.28.34[.]201	EU	SQL 인젝션
3	203.69.23[.]25	타이완	웹셸 삽입
4	142.202.49[.]101	미국	웹셸 삽입
5	36.227.231[.]17	타이완	웹셸 삽입
6	114.43.86[.]96	타이완	웹셸 삽입
7	106.55.207[.]123	중국	웹셸 삽입
8	114.43.88[.]126	타이완	웹셸 접근
9	114.246.35[.]136	중국	웹셸 접근
10	114.247.113[.]166	중국	웹셸 접근
11	114.255.249[.]182	중국	웹셸 접근
12	111.202.167[.]85	중국	웹셸 접근
13	218.190.235[.]118	홍콩	웹셸 접근
14	163.47.15[.]102	캄보디아	웹셸 접근
15	104.28.211[.]105	미국	웹셸 접근
16	156.251.145[.]233	모리셔스	웹셸 접근