뉴스로 돌아가기
속보낮음

주간 위협 인텔리전스: Codespaces RCE, AsyncRAT C2, BYOVD 공격 및 클라우드 침해 동향

3분 읽기출처: The Hacker News

개발자 워크플로우, 클라우드 접근 경로, 신원 관리 시스템을 표적으로 한 은밀한 위협 동향 분석 및 대응 전략을 확인하세요.

개발자, 클라우드, 신원 생태계에서 등장하는 은밀한 위협 동향

이번 주 보안 연구원들은 단일 지배적인 위협 대신 일상적인 운영 구성 요소인 개발자 워크플로우, 원격 관리 도구, 클라우드 접근 경로, 신원 관리 시스템에서 발생하는 침해 패턴을 확인했습니다. 공격자들이 점점 더 평범하지만 중요한 인프라를 악용하는 방식을 보여줍니다.

최근 위협 연구의 기술적 주요 사항

1. GitHub Codespaces의 원격 코드 실행(RCE) 취약점

연구원들은 클라우드 기반 개발 환경인 GitHub Codespaces에서 원격 코드 실행(RCE)을 가능하게 할 수 있는 취약점을 공개했습니다. 이 취약점이 악용되면 공격자가 환경 구성 조작이나 노출된 포트 오용을 통해 개발자 워크스테이션을 침해할 수 있습니다. 현재까지 활발한 악용 사례는 확인되지 않았지만, 이 발견은 통합 개발 환경(IDE)과 클라우드 기반 코딩 플랫폼의 위험을 강조합니다.

2. AsyncRAT 명령 및 제어(C2) 인프라

위협 인텔리전스 팀은 원격 액세스 트로이목마(RAT)인 AsyncRAT의 명령 및 제어(C2) 인프라를 매핑했습니다. 이 악성코드의 C2 서버는 동적 DNS, 패스트 플럭스(fast-flux) 기법, 암호화 통신을 활용해 탐지를 회피하는 것으로 확인되었습니다. AsyncRAT는 피싱 캠페인, 공급망 공격, 다단계 침해의 2차 페이로드로 지속적으로 배포되고 있습니다.

3. Bring Your Own Vulnerable Driver(BYOVD) 악용

공격자들은 "Bring Your Own Vulnerable Driver(BYOVD)" 공격으로 알려진 취약한 서명 드라이버를 악용해 보안 제어를 우회하고 있습니다. 합법적이지만 결함이 있는 드라이버를 커널에 로드함으로써 위협 행위자들은 권한 상승, 엔드포인트 보호 비활성화, 지속성 유지를 시도합니다. 최근 캠페인에서는 신뢰할 수 있는 공급업체의 드라이버를 대상으로 하며, 드라이버 서명 정책의 취약점과 엔드포인트 탐지 블라인드스팟을 악용하고 있습니다.

4. 잘못 구성된 접근 권한을 통한 AI 및 클라우드 침해

잘못 구성된 신원 및 접근 관리(IAM) 정책으로 인해 AI 및 클라우드 환경에 대한 무단 접근이 여러 건 보고되었습니다. 공격자들은 과도한 권한을 가진 서비스 계정, 취약한 API 인증, 모니터링되지 않는 클라우드 스토리지 버킷을 악용해 데이터를 유출하거나 악성 워크로드를 배포했습니다. 이러한 침해는 클라우드 네이티브 개발 및 AI 모델 배포 파이프라인의 체계적 위험을 부각시킵니다.

영향 분석: 이러한 동향이 중요한 이유

일상적인 운영 구성 요소를 악용하는 방향으로의 전환은 사이버 위협 전술의 광범위한 진화를 반영합니다. 공격자들은 고프로파일의 제로데이나 소란스러운 랜섬웨어에 의존하기보다는 다음과 같은 방식을 점점 더 선호하고 있습니다:

  • 소프트웨어 공급망을 침해하기 위해 개발자 및 DevOps 도구를 표적으로 삼음.
  • 탐지를 회피하기 위해 합법적인 관리 도구(예: RAT, 드라이버)를 악용.
  • 하이브리드 환경에서 횡적 이동을 위해 신원 및 클라우드 설정 오류를 악용.

이러한 방법은 정상적인 네트워크 트래픽과 워크플로우에 섞여들어 탐지가 더 어려우며, 미성숙한 클라우드 보안 태세, 취약한 드라이버 서명 정책, 모니터링되지 않는 개발자 환경을 가진 조직이 특히 취약합니다.

보안 팀을 위한 권고 사항

  • 클라우드 개발 환경(예: GitHub Codespaces, GitLab Workspaces) 감사 및 강화: 최소 권한 접근 원칙 적용, 로깅 활성화, 노출된 포트 제한.
  • BYOVD 공격 모니터링: 드라이버 블록리스트 구현, 드라이버 서명 정책 강화, 커널 수준 모니터링 도구 배포.
  • AsyncRAT 및 유사 RAT 탐지: 네트워크 트래픽 분석, 행위 기반 탐지 규칙, C2 인프라 블록리스트 활용.
  • IAM 및 클라우드 구성 검토: 과도한 권한 계정 제거, 다중 인증(MFA) 적용, 지속적인 클라우드 보안 태세 관리(CSPM) 활성화.
  • 저속 침해 탐지 강화: 엔드포인트, 클라우드 서비스, 신원 제공자 간 로그 상관 분석을 통해 이상 행동 패턴 식별.

공격자들이 기술을 계속 발전시키는 가운데, 보안 팀은 다음 침해의 물결이 이미 진행 중일 수 있는 겉보기에 무해한 운영 구성 요소에 대한 가시성을 우선시해야 합니다.

공유

TwitterLinkedIn