PCPJack: 경쟁사 툴 제거 및 자율 전파 기반의 Cloud Credential Harvesting 프레임워크

Worm rubs out competitor's malware, then takes control

2026년 5월 8일3분intermediate

AI 요약

Context

TeamPCP가 Trivy 스캐너를 통한 Supply Chain Attack으로 클라우드 자격 증명을 탈취하던 기존 방식의 한계 존재. 수동적인 소프트웨어 배포 기반의 공격 방식에서 벗어나 자동화된 전파 체계의 필요성 대두.

Technical Solution

Exposed Service 탐색을 통한 Docker, Kubernetes, Redis, MongoDB 등 취약 환경 자동 식별
Shell Script 기반의 초기 환경 구축 후 추가 Payload를 다운로드하는 Multi-stage 전파 구조 설계
경쟁 조직인 TeamPCP의 프로세스와 Artifact를 강제 종료 및 제거하여 시스템 제어권 독점
Lateral Movement 모듈을 통한 내부 및 외부 네트워크 전파 범위 확장
Env Variables, SSH Keys, Kubernetes Tokens 등 고밀도 Credential 파싱 및 암호화 전송 로직 구현
Cryptominer 배제 및 금융/엔터프라이즈 타겟 데이터 수집에 집중한 특화 프레임워크 구성

실천 포인트

- Kubernetes 및 Docker 인스턴스의 외부 노출 여부 전수 조사 및 인증 강제 적용 - Cloud Environment Variables 및 Config 파일 내 민감 정보 저장 금지 및 Secret Management 도구 도입 - 불필요한 서비스 포트 개방 제한 및 Zero Trust 기반의 네트워크 세그멘테이션 적용 - 시스템 내 미승인 프로세스 실행 및 비정상적인 Artifact 생성 여부 모니터링 체계 구축

태그

#Worm #Lateral Movement #Supply Chain Attack #Kubernetes Security #Credential Harvesting

원문 읽기