PCPJack Credential Stealer, 5 CVEs 악용해 클라우드 시스템 전역에 웜과 유사하게 확산
Source: The Hacker News
(번역할 텍스트가 제공되지 않았습니다. 번역이 필요한 본문을 알려주시면 한국어로 번역해 드리겠습니다.)
개요
작성자: Ravie Lakshmanan
날짜: 2026 년 5 월 7 일
카테고리: 위협 인텔리전스 / 클라우드 보안
사이버 보안 연구원들은 노출된 클라우드 인프라를 표적으로 하고 환경에서 TeamPCP와 연결된 모든 흔적을 제거하는 PCPJack이라는 새로운 자격 증명 탈취 프레임워크에 대한 세부 정보를 공개했습니다.
“이 툴셋은 클라우드, 컨테이너, 개발자, 생산성 및 금융 서비스에서 자격 증명을 수집한 뒤, 공격자가 제어하는 인프라를 통해 데이터를 유출하고 추가 호스트로 확산을 시도합니다.”라고 SentinelOne 보안 연구원 Alex Delamotte가 오늘 발표한 보고서에서 밝혔습니다.
— SentinelOne Labs 보고서
PCPJack은 Docker, Kubernetes, Redis, MongoDB, RayML 및 취약한 웹 애플리케이션과 같은 클라우드 서비스를 특별히 겨냥하도록 설계되었으며, 운영자가 웜처럼 확산하고 침해된 네트워크 내에서 횡방향 이동을 할 수 있게 합니다. 최종 목표는 자격 증명 탈취, 사기, 스팸, 몸값 요구 또는 도난된 접근 권한 재판매를 통한 불법 수익 창출로 보입니다.
이 활동이 주목받는 이유는 TeamPCP와 상당히 겹치는 표적을 가지고 있기 때문입니다. TeamPCP는 지난해 말에 알려진 보안 취약점(예: React2Shell)과 클라우드 서비스의 잘못된 구성 설정을 악용해 엔드포인트를 지속적으로 확대하고 데이터 탈취 및 기타 사후 이용 행동을 수행하는 위협 행위자로 부상했습니다.
동시에 PCPJack은 TeamPCP와 달리 암호화폐 채굴 구성 요소가 없습니다. 이 명백한 수익화 전략을 제외한 이유는 알 수 없지만, 두 클러스터 간의 유사성은 PCPJack이 그룹의 전술을 잘 아는 전 TeamPCP 멤버에 의해 만들어졌을 가능성을 시사합니다.
Source: https://example.com/article
공격 흐름
공격의 시작점은 부트스트랩 셸 스크립트이며, 이 스크립트는 다음을 수행합니다:
- 환경을 준비합니다(예: 페이로드 호스트 구성).
- 다음 단계 도구를 다운로드합니다.
- 자체 인프라를 감염시킵니다.
- TeamPCP와 관련된 프로세스 또는 아티팩트를 종료하고 제거합니다.
- Python을 설치하고 지속성을 확보한 뒤 여섯 개의 Python 스크립트를 다운로드합니다.
- 오케스트레이션 스크립트를 실행하고 자신을 제거합니다.
여섯 개의 Python 페이로드
| 파일 | 별명 | 설명 |
|---|---|---|
worm.py (디스크에 monitor.py 로 기록) | – | 주요 오케스트레이터로, 목적에 맞게 제작된 모듈을 실행하고, 로컬 자격 증명을 탈취하며, 알려진 CVE(CVE‑2025‑55182, CVE‑2025‑29927, CVE‑2026‑1357, CVE‑2025‑9501, CVE‑2025‑48703)를 통해 툴셋을 전파하고, Telegram을 C2로 사용합니다. |
parser.py (또는 utils.py) | – | 자격 증명 추출을 처리하고 탈취된 키와 비밀을 분류합니다. |
lateral.py (lat.py) | – | 정찰을 지원하고 비밀을 수집하며, SSH, Kubernetes, Docker, Redis, RayML, MongoDB 서비스 전반에 걸친 횡방향 이동을 가능하게 합니다. |
crypto_util.py (cu.py) | – | 탈취한 자격 증명을 공격자의 Telegram 채널로 전송하기 전에 암호화합니다. |
cloud_ranges.py (cr.py) | – | AWS, Google Cloud, Microsoft Azure, Cloudflare, Cloudfront, Fastly의 IP 주소 범위를 수집하고, 데이터를 24시간마다 갱신합니다. |
cloud_scan.py (csc.py) | – | Docker, Kubernetes, MongoDB, RayML, Redis 서비스를 통한 외부 전파를 위해 클라우드 포트 스캔을 수행합니다. |
오케스트레이션 스크립트의 전파 대상은 웜이 Common Crawl에서 직접 가져오는 Parquet 파일에서 추출됩니다. Common Crawl은 비영리 단체로, 웹을 크롤링하고 아카이브와 데이터셋을 무료로 공개합니다.
“시스템 정보와 자격 증명을 탈취할 때, PCPJack 운영자는 성공 지표까지 수집한다는 점에서 T”
(기사 내용이 여기서 갑자기 끊깁니다.)
eamPCP는 목표 환경에서 “PCP replaced” 필드가 C2에 전송된 후 퇴거되었습니다. Delamotte는 이것이 **“위협 행위자의 활동에 직접 초점을 맞추고 있으며 순수한 클라우드 공격 기회주의와는 다르다”**고 해석했습니다.
위협 행위자의 인프라를 추가 분석한 결과, 또 다른 셸 스크립트(check.sh)가 발견되었습니다. 이 스크립트는:
- CPU 아키텍처를 감지하고 적절한 Sliver 바이너리를 가져옵니다.
- 인스턴스 메타데이터 서비스(IMDS) 엔드포인트, Kubernetes 서비스 계정, Docker 인스턴스를 스캔하여 Anthropic, Digital Ocean, Discord, Google API, Grafana Cloud, HashiCorp Vault, 1Password, OpenAI와 연관된 자격 증명을 찾습니다.
- 수집된 자격 증명을 외부 서버로 전송합니다.
“전체적으로 두 툴셋은 잘 개발되어 있으며, 소유자가 코드를 모듈형 프레임워크로 만들고자 하는 의도가 엿보입니다. 다만 행동에 중복성이 존재합니다.”라고 SentinelOne은 말했습니다. “이 캠페인은 채굴기를 배포하지 않으며 TeamPCP와 연관된 채굴 기능을 의도적으로 제거합니다. 그럼에도 불구하고, 이 행위자는 암호화폐 자격 증명을 추출하기 위한 명확한 범위를 가지고 있습니다.”
팔로우하기
이 기사 흥미로우셨나요? 더 많은 독점 콘텐츠를 위해 저희를 팔로우하세요:
- Google News