PCPJack 악성코드, 5개의 CVE를 악용해 클라우드 자격 증명 탈취

PCPJack 악성코드, 5개의 CVE를 악용해 클라우드 자격 증명 탈취

PCPJack이라는 새로 식별된 자격 증명 탈취 프레임워크가 다섯 개의 미패치 취약점을 연쇄적으로 악용하여 노출된 클라우드 인프라 전반에 확산되고 있으며, 대규모로 로그인 데이터를 수집하고 전형적인 웜 동작 방식으로 네트워크를 통해 측면 이동하고 있다. 연구자들은 이를 클라우드 자격 증명 탈취 악성코드의 심각한 수위 상승으로 지목했으며, 그 파장은 개별 조직을 넘어 원격 근무자, 계약자, 그리고 공유 클라우드 환경에 의존하는 모든 사람에게까지 미친다.

PCPJack의 클라우드 자격 증명 수집 및 유출 방식

PCPJack은 각각 공격의 서로 다른 단계를 담당하는 여섯 개의 Python 컴포넌트로 구성된 모듈형 프레임워크로 작동한다. 노출된 시스템에 발판을 마련하면, 구성 파일, 환경 변수, 캐시된 인증 토큰에 저장된 자격 증명을 수집하기 시작한다. 이는 클라우드 네이티브 서비스가 컴포넌트 간 인증에 일상적으로 사용하는 종류의 자격 증명으로, 개발 및 스테이징 환경에서 암호화되지 않거나 충분히 보호되지 않은 상태로 남겨지는 경우가 많다.

수집 후 탈취된 자격 증명은 공격자가 제어하는 인프라로 유출된다. PCPJack이 특히 공격적인 이유는 여기서 멈추지 않기 때문이다. 수집한 자격 증명을 활용해 측면 이동을 시도하며, 연결된 서비스와 시스템에서 추가 접근 권한을 탐색한다. 이는 복합적인 위험을 초래한다. 침해된 노드 하나가 조직의 클라우드 환경 전반에 걸친 훨씬 광범위한 침입의 발판이 될 수 있는 것이다.

이 악성코드는 TeamPCP라는 경쟁 위협의 흔적을 능동적으로 제거하여 감염된 인프라에 대한 독점적 제어권을 확보하기도 한다. 이러한 경쟁적 행동은 PCPJack 운영자들이 클라우드 시스템을 방어할 가치가 있는 지속적 자산으로 취급할 만큼 정교하다는 것을 시사한다.

어떤 클라우드 서비스와 CVE가 악용되고 있는가

PCPJack은 잘못된 구성이나 지연된 패치로 인해 자격 증명에 접근 가능한 서비스를 중심으로, 노출된 클라우드 인프라를 광범위하게 표적으로 삼는다. 이 프레임워크는 네트워크 경계 내부에서 초기 접근을 확립하거나 권한을 상승시키기 위해 문서화된 다섯 개의 CVE를 악용한다. 특정 CVE 식별자는 보안 출판물 전반에서 여전히 폭넓게 검증 중이지만, 연구자들은 다섯 취약점 모두 PCPJack 배포 이전에 이미 알려져 있었고 패치가 제공되었다고 밝혔다. 이는 클라우드를 표적으로 하는 공격에서 반복되는 패턴이다. 위협 행위자들은 제로데이 익스플로잇이 아니라 패치 제공과 실제 패치 적용 사이의 간극에 의존한다.

이러한 역학은 다른 공격 체인에서 자격 증명 탈취가 어떻게 확대되는지를 반영한다. Microsoft가 13,000개 조직에 걸쳐 35,000명의 사용자를 표적으로 한 피싱 캠페인을 노출한 사례도 마찬가지로 침해된 인증 토큰을 활용했으며, 이는 탈취된 자격 증명이 상호 연결된 서비스 전반에서 만능 키로 기능함을 보여준다.

노출된 클라우드 인프라가 근본적인 취약점인 이유

PCPJack의 효과는 기술적 정교함보다 기회에 있다. 클라우드 환경은 종종 신속하게 배포되며, 보안 구성이 운영 필요를 따라가지 못하는 경우가 많다. 인터넷에 노출된 서비스, 부적절하게 범위가 설정된 서비스 계정 권한, 환경 파일 내 평문으로 저장된 자격 증명은 모두 PCPJack 같은 도구가 악용하도록 설계된 조건을 만들어낸다.

원격 근무는 이러한 노출을 증폭시켰다. 개인 네트워크에서 클라우드 콘솔에 접근하는 개발자와 엔지니어, 개인 기기를 사용하는 경우, 공식적인 오프보딩 절차 없이 프로젝트를 순환하는 경우 모두 감사하기 어려운 광범위한 공격 표면에 기여한다. 자격 증명 위생 문제는 새로운 것이 아니지만, PCPJack은 자동화된 웜 유사 전파와 결합될 때 이것이 대규모로 얼마나 효율적으로 무기화될 수 있는지를 보여준다.

자격 증명 중심 공격이 심각한 피해를 일으키기 위해 가장 진보된 침입 기술을 필요로 하지 않는다는 점도 주목할 만하다. 국가 지원 작전과 연관된 IBM 이탈리아 자회사 침해 사건에서 볼 수 있듯이, 공격자가 유효한 자격 증명을 보유하면 합법적인 트래픽에 섞여 시스템을 이동할 수 있다.

계층적 방어: VPN, 제로 트러스트, 자격 증명 관리

PCPJack과 같은 위협에 방어하려면 취약점 악용 벡터와 자격 증명 노출 문제를 동시에 해결해야 한다.

첫째, 클라우드 대면 서비스에 대한 패치 관리는 선택 사항이나 연기 가능한 사항으로 취급될 수 없다. PCPJack이 악용한 다섯 개의 CVE 모두 악성코드가 실제 환경에 배포되기 전에 이미 수정 사항이 제공되었다. 특히 인터넷에 노출된 서비스에 대한 적시 패치 주기를 유지하면 공격 표면을 직접적으로 줄일 수 있다.

둘째, 조직은 클라우드 환경 내에서 자격 증명이 어떻게 저장되고 범위가 설정되는지 감사해야 한다. 서비스 계정은 최소 권한 원칙을 따라야 하며, 비밀은 환경 파일이나 코드 저장소가 아닌 전용 볼트에 저장되어야 한다. 자격 증명을 정기적으로 교체하고 미사용 토큰을 무효화하면 PCPJack이 탈취하는 데 성공하더라도 그 가치를 제한할 수 있다.

셋째, 제로 트러스트 보안 모델을 채택하면 내부 네트워크 트래픽이 신뢰할 수 있다는 근본적인 가정을 변경할 수 있다. 제로 트러스트 하에서는 인간 사용자든 서비스 계정이든 모든 접근 요청이 정의된 정책에 따라 인증되고 권한이 부여되어야 한다. 이 아키텍처는 PCPJack이 초기 접근 후 영향력을 확장하기 위해 의존하는 측면 이동을 크게 제한한다.

마지막으로, VPN은 관리 접근이 열린 인터넷 연결이 아닌 제어되고 인증된 터널을 통해 라우팅되도록 함으로써 클라우드 관리 인터페이스의 직접적인 노출을 줄일 수 있다. 이것이 모든 위험을 제거하지는 않지만, 초기 접근의 문턱을 크게 높인다.

당신에게 의미하는 것

조직이 클라우드에서 워크로드를 운영하고 있다면, PCPJack은 노출된 서비스와 미패치 취약점이 추상적인 위험이 아니라는 것을 직접적으로 상기시켜 준다. 이것들은 실제 표적이다. 스토리지, 개발, 또는 SaaS 통합을 위해 클라우드 플랫폼을 사용하는 소규모 기업조차도 구성을 정기적으로 검토하지 않으면 자격 증명이 탈취될 수 있다.

원격으로 근무하며 기업 클라우드 리소스에 접근하는 개인에게도 위험은 공유된다. 취약한 인증 관행이나 개인 기기에 캐시된 자격 증명은 더 큰 조직 네트워크로의 진입점이 될 수 있다.

실행 가능한 조치 사항:

• 인터넷에 노출된 모든 클라우드 서비스를 감사하고 미적용 패치를 적용하라. 특히 PCPJack이 표적으로 삼는 다섯 가지 CVE 범주에 주목하라.
• 환경 파일에서 자격 증명과 API 키를 제거하고 전용 비밀 관리 도구로 이전하라.
• 모든 클라우드 콘솔 및 서비스 계정 접근에 다단계 인증을 구현하라.
• 특히 측면 이동 제어 및 서비스 간 인증과 관련하여 조직의 제로 트러스트 준비 상태를 검토하라.
• VPN 터널을 사용하여 관리 클라우드 접근을 인증되고 제어된 네트워크 경로로 제한하라.

클라우드 자격 증명 탈취 악성코드는 점점 더 자동화되고 더 큰 피해를 초래하고 있다. 지금 자신의 노출 수준을 파악하는 것이 침해 발생 후 대응하는 것보다 훨씬 비용이 적게 든다.