JL-001 Jenkins Access and Controller Log
SB-01 Jenkins Web/CLI 접근과 controller 이벤트를 확인하는 로그.
T1592
T1078
T1190
2024 PipelineKey
2024 PipelineKey는 침해된 개발자 단말 또는 탈취된 개발자 VPN 세션을 통해 내부 개발망에 접근한 뒤, Jenkins CI/CD 서버와 App 서버, PostgreSQL DB 서버를 대상으로 전개된 침해 캠페인이다. 공격 그룹 BreadKimchi는 개발자 단말에서 Jenkins Web UI와 CLI 접근 가능성을 확인하고, 개발자 단말에 저장되어 있던 Jenkins API Token을 확보했다. BreadKimchi는 해당 토큰으로 Jenkins CLI에 인증한 뒤 CVE-2024-23897 파일 읽기 취약점을 악용하여 Jenkins controller 내부의 Job 설정, build log, workspace, 배포 credential 단서를 조사했다. 이후 Jenkins에서 확인한 배포 자격 증명을 이용해 App 서버에 접근하고, 애플리케이션 환경 설정에 포함된 PostgreSQL 접속 정보를 확인하여 DB 서버에 연결했다. BreadKimchi는 고객 예약 데이터를 수집한 뒤 압축 및 암호화하여 HTTPS 또는 SSH 기반 채널을 통해 외부 인프라로 전송했다.
Groups
| ID | Name | Description |
|---|---|---|
| G-SB-001 | BreadKimchi | 2024 PipelineKey 활동과 연결된 공격 그룹이다. |
Techniques Used
| Name | ID | Use | Primary Logs |
|---|---|---|---|
| Gather Victim Host Information | T1592 | 2024 PipelineKey 당시 BreadKimchi는 침해된 개발자 단말에서 내부 개발망의 Jenkins 응답 헤더, CLI jar 노출 여부, 서비스 포트, Jenkins UI 정보를 수집하여 CI/CD 서버의 역할과 취약 버전 여부를 식별했다. | JL-001 |
| Unsecured Credentials: Credentials In Files | T1552.001 | 2024 PipelineKey 당시 BreadKimchi는 침해된 개발자 단말의 자동화 스크립트와 설정 파일에 남아 있던 Jenkins API Token을 수집했다. App 서버 이동 이후에는 애플리케이션 설정 파일에서 DB credential 후보를 확인했다. | LL-002 |
| Valid Accounts | T1078 | 2024 PipelineKey 당시 BreadKimchi는 수집한 Jenkins API Token을 이용해 Jenkins CLI에 인증하고, 개발자 계정 권한으로 Jenkins controller와 상호작용했다. | JL-001, LL-001 |
| Exploit Public-Facing Application | T1190 | 2024 PipelineKey 당시 BreadKimchi는 Jenkins CLI의 CVE-2024-23897 파일 읽기 취약점을 악용하여 Jenkins controller 내부 파일을 읽었다. | JL-001 |
| Data from Information Repositories | T1213 | 2024 PipelineKey 당시 BreadKimchi는 Jenkins를 CI/CD 정보 저장소로 활용하여 배포 대상, Job 실행 이력, workspace, credential metadata 등 App 서버 접근에 필요한 단서를 조사했다. | JL-002 |
| Unsecured Credentials: Private Keys | T1552.004 | 2024 PipelineKey 당시 BreadKimchi는 Jenkins 내부의 배포 credential 및 관련 단서에서 App 서버 접근에 사용되는 SSH private key를 수집했다. | JL-002 |
| Remote Services: SSH | T1021.004 | 2024 PipelineKey 당시 BreadKimchi는 Jenkins에서 확보한 배포 키와 deploy 계정을 사용하여 SSH를 통해 App 서버에 접근했다. | LL-001 |
| File and Directory Discovery | T1083 | 2024 PipelineKey 당시 BreadKimchi는 App 서버의 애플리케이션 경로, 컨테이너 구성, 환경 설정 파일, DB 연결 정보를 탐색했다. | LL-002 |
| Data from Information Repositories: Databases | T1213.006 | 2024 PipelineKey 당시 BreadKimchi는 App 서버에서 확인한 PostgreSQL 접속 정보를 사용하여 DB 서버의 고객 예약 데이터베이스를 조회하고 고객/예약 데이터를 수집했다. | DBL-001 |
| Data Staged: Local Data Staging | T1074.001 | 2024 PipelineKey 당시 BreadKimchi는 수집한 고객 예약 데이터를 App 서버의 임시 경로에 모아 archive로 묶어 외부 전송을 준비했다. | LL-002 |
| Exfiltration Over Alternative Protocol: Exfiltration Over Asymmetric Encrypted Non-C2 Protocol | T1048.002 | 2024 PipelineKey 당시 BreadKimchi는 수집한 고객 예약 데이터를 압축 및 암호화한 뒤 HTTPS 또는 SSH 기반 채널을 통해 외부 인프라로 전송했다. | LL-002, AWSL-001 |
Matrix View
Reconnaissance
T1592 Gather Victim Host Information2024 PipelineKey 당시 BreadKimchi는 침해된 개발자 단말에서 내부 개발망의 Jenkins 응답 헤더, CLI jar 노출 여부, 서비스 포트, Jenkins UI 정보를 수집하여 CI/CD 서버의 역할과 취약 버전 여부를 식별했다.Resource Development
No SB-01 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Initial Access
T1078 Valid Accounts2024 PipelineKey 당시 BreadKimchi는 수집한 Jenkins API Token을 이용해 Jenkins CLI에 인증하고, 개발자 계정 권한으로 Jenkins controller와 상호작용했다.T1190 Exploit Public-Facing Application2024 PipelineKey 당시 BreadKimchi는 Jenkins CLI의 CVE-2024-23897 파일 읽기 취약점을 악용하여 Jenkins controller 내부 파일을 읽었다.Execution
No SB-01 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Persistence
No SB-01 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Privilege Escalation
No SB-01 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Defense Evasion
No SB-01 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Credential Access
T1552.001 Unsecured Credentials: Credentials In Files2024 PipelineKey 당시 BreadKimchi는 침해된 개발자 단말의 자동화 스크립트와 설정 파일에 남아 있던 Jenkins API Token을 수집했다. App 서버 이동 이후에는 애플리케이션 설정 파일에서 DB credential 후보를 확인했다.T1552.004 Unsecured Credentials: Private Keys2024 PipelineKey 당시 BreadKimchi는 Jenkins 내부의 배포 credential 및 관련 단서에서 App 서버 접근에 사용되는 SSH private key를 수집했다.Discovery
T1083 File and Directory Discovery2024 PipelineKey 당시 BreadKimchi는 App 서버의 애플리케이션 경로, 컨테이너 구성, 환경 설정 파일, DB 연결 정보를 탐색했다.Lateral Movement
T1021.004 Remote Services: SSH2024 PipelineKey 당시 BreadKimchi는 Jenkins에서 확보한 배포 키와 deploy 계정을 사용하여 SSH를 통해 App 서버에 접근했다.Collection
T1213 Data from Information Repositories2024 PipelineKey 당시 BreadKimchi는 Jenkins를 CI/CD 정보 저장소로 활용하여 배포 대상, Job 실행 이력, workspace, credential metadata 등 App 서버 접근에 필요한 단서를 조사했다.T1213.006 Data from Information Repositories: Databases2024 PipelineKey 당시 BreadKimchi는 App 서버에서 확인한 PostgreSQL 접속 정보를 사용하여 DB 서버의 고객 예약 데이터베이스를 조회하고 고객/예약 데이터를 수집했다.T1074.001 Data Staged: Local Data Staging2024 PipelineKey 당시 BreadKimchi는 수집한 고객 예약 데이터를 App 서버의 임시 경로에 모아 archive로 묶어 외부 전송을 준비했다.Command and Control
No SB-01 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Exfiltration
T1048.002 Exfiltration Over Alternative Protocol: Exfiltration Over Asymmetric Encrypted Non-C2 Protocol2024 PipelineKey 당시 BreadKimchi는 수집한 고객 예약 데이터를 압축 및 암호화한 뒤 HTTPS 또는 SSH 기반 채널을 통해 외부 인프라로 전송했다.Impact
No SB-01 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
SB-01 Campaign Logs
이 캠페인에서 현재 검증하거나 작성 중인 로그 상세 페이지를 한눈에 확인한다.
LL-002 Linux auditd File Access Log
SB-01 App 서버의 운영 경로, 설정 파일, 임시 staging 경로 접근을 auditd로 확인하는 로그.
T1083
T1552.001
T1074.001
T1048.002
LL-001 Linux SSH Auth Log
SB-01 App 서버 SSH 인증 성공/실패와 세션 이벤트를 확인하는 로그.
T1021.004
T1078
JL-002 Jenkins Build Log
SB-01 Jenkins Job/build history에서 배포 대상, workspace, credential 사용 단서를 확인하는 로그.
T1213
T1552.004
T1021.004
DBL-001 PostgreSQL Connection Log
SB-01 DB 서버의 PostgreSQL 접속, 계정, database 접근 흔적을 확인하는 로그.
T1213.006
T1078
AWSL-001 AWS VPC Flow Log
SB-01 VPC 네트워크 흐름에서 App 서버의 외부 전송 정황과 서버 간 통신을 확인하는 로그.
T1048.002
T1021.004
Related Blue Team Playbooks
| Workflow ID | Behavior | Related Techniques | Primary Logs | Purpose |
|---|---|---|---|---|
| WF-REMOTE-001 | 내부망 원격 접속 및 원격 명령 실행 분석 | T1021.004, T1078 | LL-001, JL-002 | Jenkins 배포 credential 또는 정상 계정이 내부 서버 접근에 사용된 정황을 분석한다. |
| WF-CRED-001 | Credential 파일 접근 분석 | T1552.001, T1552.004 | JL-002, LL-002 | Jenkins/App 설정 파일에서 credential 단서에 접근한 흔적을 분석한다. |
| WF-DATA-001 | 데이터 staging 및 유출 준비 분석 | T1074.001, T1048.002 | LL-002, AWSL-001 | 임시 경로 staging, archive 생성, 외부 전송 후보를 분석한다. |
Software
| ID | Name | Description |
|---|---|---|
| S-SB-001 | Jenkins | 기업 개발팀의 빌드, 테스트, 배포 자동화를 담당하는 CI/CD 서버다. |
| S-SB-002 | Jenkins CLI | Jenkins controller에 명령을 전달하는 CLI 구성 요소이며, CVE-2024-23897 파일 읽기 취약점의 악용 경로로 사용되었다. |
| S-SB-003 | Spacebar Booking App | Jenkins를 통해 App 서버에 배포되는 예약 서비스다. |
| S-SB-004 | PostgreSQL | 고객 및 예약 데이터를 저장하는 내부 DB 서버다. |