해커가 다른 해커에게 해킹당한 피해자를 해킹한다
Source: TechCrunch
일반 인터넷 사용자와 기업만이 악성 해커들의 피해자는 아니다. 때때로 해커 자체가 해킹당하기도 한다(해커를 해킹하는 방법).
The PCPJack Campaign
알려지지 않은 해커 집단이 이미 TeamPCP 라는 악명 높은 사이버 범죄 조직에 의해 장악된 시스템을 표적으로 삼았다. 이들은 해당 시스템에 침투한 뒤 즉시 TeamPCP 요원들을 퇴거시키고, 그들의 도구를 제거했으며, 이는 사이버 보안 업체 SentinelOne 의 새 보고서에 따르면이다.
그 후 공격자들은 자신들의 접근 권한을 이용해 클라우드 인프라 전반에 걸쳐 스스로 퍼지는 웜처럼 복제되는 코드를 배포하고, 다양한 종류의 자격 증명을 탈취한 뒤 탈취한 데이터를 자신들의 인프라로 전송하도록 설계했다.
보고서에 따르면, 해커들의 도구는 TeamPCP를 성공적으로 퇴거시킨 침해 대상 수를 집계하고, 이 정보를 자체 서버에 전송한다.
Background on TeamPCP
TeamPCP는 최근 몇 주 동안 일련의 고프로파일 해킹 사건으로 주목받고 있는 사이버 범죄 조직이다. 주요 사건은 다음과 같다:
- 유럽연합 집행위원회의 클라우드 인프라 침해 – TechCrunch
- 널리 사용되는 취약점 스캐너 Trivy에 대한 대규모 사이버 공격. 이 공격은 LiteLLM 및 AI 채용 스타트업 Mercor 등 해당 도구에 의존하던 모든 기업에 영향을 미쳤음 – Ars Technica, TechCrunch
Who Is Behind PCPJack?
SentinelOne의 선임 연구원이자 이번 캠페인을 발견하고 “PCPJack”이라 명명한 Alex Delamotte는 가해자가 알려지지 않았다고 TechCrunch에 전했다. 그녀는 세 가지 가능한 동기를 제시했다:
- 불만을 품은 전 TeamPCP 멤버
- 경쟁 해킹 그룹
- TeamPCP의 초기 클라우드 인프라 캠페인을 모델로 삼은 제3자
“PCPJack이 표적으로 삼은 서비스는 12월‑1월에 진행된 TeamPCP 캠페인과 매우 유사한데, 이는 2월‑3월에 발생한 것으로 추정되는 조직 구성원 변화 이전의 모습이다,” 라고 Delamotte는 말했다.
이 그룹은 Docker 가상 머신 플랫폼, MongoDB 데이터베이스 등 노출된 서비스를 인터넷에서 스캔하지만, SentinelOne은 주요 초점이 여전히 TeamPCP에 의해 이전에 침해된 시스템에 있다고 강조한다.
Motivations and Tactics
- 금전적 이익: 공격자는 탈취한 자격 증명을 수익화한다—데이터를 재판매하거나, 침해된 시스템에 대한 접근 권한을 “초기 접근 브로커”로 판매하거나, 직접 피해자를 협박한다.
- 암호화폐 채굴 없음: 이 그룹은 암호화폐 채굴 소프트웨어를 설치하지 않는다. 이는 채굴이 보상을 얻기까지 더 많은 시간이 필요하기 때문이다.
- 비밀번호 관리자 피싱: 일부 공격은 비밀번호 관리자 자격 증명을 탈취하기 위한 피싱 도메인 및 가짜 헬프데스크 웹사이트를 이용한다.
이러한 전술은 원래 TeamPCP 침투가 만든 혼란을 활용하는 순수한 수익 중심 운영임을 시사한다.