UNC4899, 개발자가 AirDropped한 트로이목 파일을 작업 장치에 전달한 뒤 Crypto Firm 침해
Source: The Hacker News
Ravie Lakshmanan • 2026년 3월 9일 • DevOps / 위협 인텔리전스
북한 위협 행위자 UNC4899가 2025년에 암호화폐 조직을 표적으로 한 정교한 클라우드 침해 캠페인을 주도한 것으로 추정되며, 이 과정에서 수백만 달러 규모의 암호자산을 탈취했습니다.
이 활동은 중간 수준의 신뢰도로 국가 지원 해커 그룹에 귀속되었으며, 이 그룹은 Jade Sleet, PUKCHONG, Slow Pisces, TraderTraitor 라는 암호명으로도 추적됩니다 — 원본 보고서는 The Hacker News에서 확인할 수 있습니다.
“이 사건은 사회공학, 개인‑대‑기업 장치 간 피어‑투‑피어 데이터(P2P) 전송 메커니즘 및 워크플로우 활용, 그리고 최종적으로 클라우드로 전환해 클라우드 기반(Living‑off‑the‑Cloud, LOTC) 기법을 적용한 점에서 주목할 만합니다,” 라고 기술 대기업은 2026년 상반기 클라우드 위협 전망 보고서(H1 2026 Cloud Threat Horizons Report) 에서 언급했습니다 — PDF ( The Hacker News와 공유).
Attack Overview
클라우드 환경에 접근한 후, 공격자는 정당한 DevOps 워크플로를 악용하여:
- 자격 증명을 수집했습니다.
- 컨테이너 샌드박스에서 탈출했습니다.
- 암호화폐 절도를 용이하게 하기 위해 Cloud SQL 데이터베이스를 변조했습니다.
Google Cloud가 설명한 공격 체인은 다음과 같이 진행되었습니다:
- 초기 사회공학 – 위협 행위자는 개발자를 유인해 오픈소스 협업의 일환이라고 주장되는 아카이브 파일을 다운로드하도록 했습니다.
- 디바이스‑간 전송 – 개발자는 AirDrop을 통해 아카이브를 기업 워크스테이션으로 옮겼습니다.
- IDE 실행 – AI‑지원 통합 개발 환경(IDE)에서 피해자는 아카이브를 열어 악성 Python 코드를 실행했으며, 이 코드는
kubectl명령줄 도구를 가장한 바이너리를 생성했습니다. - 백도어 구축 – 해당 바이너리는 공격자가 제어하는 도메인에 연결하여 기업 머신에 foothold를 확보하고, 인증된 세션과 수집된 자격 증명을 이용해 Google Cloud 환경으로 피벗했습니다.
- 정찰 – 공격자는 클라우드 테넌트 내 서비스와 프로젝트에 대한 정보를 수집했습니다.
추가적인 클라우드‑측 활동
- 바스천 호스트 탐색 – 적은 바스천 호스트를 찾아 MFA 정책을 변경해 접근 권한을 얻은 뒤, Kubernetes 내 파드 탐색 등 보다 깊은 정찰을 수행했습니다.
- 클라우드 내 거주형(LotC) 지속성 – 배포 구성을 수정해 새로운 파드가 생성될 때 자동으로 Bash 명령을 실행하도록 했으며, 이 명령은 추가 백도어를 다운로드했습니다.
주요 단계 (불릿 요약)
- 피해자의 CI/CD 플랫폼과 연결된 Kubernetes 리소스를 변경해 서비스‑계정 토큰을 기록하는 명령을 삽입했습니다.
- 고권한 CI/CD 서비스‑계정 토큰을 수집해 권한 상승 및 네트워크 정책과 로드 밸런싱을 담당하는 파드로의 횡 이동을 가능하게 했습니다.
- 도난당한 토큰으로 특권 인프라 파드에 인증하여 컨테이너 탈출 및 지속적인 백도어 배포를 수행했습니다.
- 고객 데이터(사용자 ID, 계정 보안, 암호화폐 지갑 정보)를 관리하는 워크로드에 대한 추가 정찰을 진행했습니다.
- 파드 환경 변수에 안전하게 보관되지 않은 정적 데이터베이스 자격 증명을 추출했습니다.
- 추출한 자격 증명을 Cloud SQL Auth Proxy를 통해 프로덕션 데이터베이스에 접근하고, 비밀번호를 재설정하고 MFA 시드를 업데이트하는 SQL 문을 실행했습니다.
- 손상된 계정을 이용해 수백만 달러에 달하는 디지털 자산을 인출했습니다.
위 분석은 Google Cloud가 공개한 정보와 The Hacker News가 보도한 내용을 기반으로 합니다.
이번 사고는 “개인‑대‑기업 P2P 데이터 전송 방식 및 기타 데이터 브리지, 특권 컨테이너 모드, 클라우드 환경에서 비밀을 안전하게 다루지 못하는 것이 초래하는 중대한 위험을 강조한다”고 Google은 말했습니다. “조직은 정체성을 철저히 검증하고, 엔드포인트에서의 데이터 전송을 제한하며, 클라우드 런타임 환경 내에서 엄격한 격리를 적용해 방어‑심층 전략을 채택함으로써 블라스트 반경을 최소화해야 한다.”
Source: …
“n 침입 이벤트.”
권장 사항
- 컨텍스트 인식 액세스와 피싱 방지 MFA를 구현합니다.
- 신뢰할 수 있는 이미지만 배포하도록 보장합니다.
- 손상된 노드가 외부 호스트와 연결을 설정하지 못하도록 격리합니다.
- 예상치 못한 컨테이너 프로세스를 모니터링합니다.
- 강력한 비밀 관리 방식을 채택합니다.
- AirDrop 또는 Bluetooth를 이용한 피어‑투‑피어 파일 공유 및 기업 장치에 관리되지 않은 외부 미디어 마운트를 비활성화하거나 제한하는 정책을 시행합니다.