Las instancias de PostgreSQL expuestas son el objetivo de una campaña en curso diseñada para obtener llegada no competente e implementar mineros de criptomonedas.
La firma de seguridad en la abundancia Wiz dijo que la actividad es una modificación de un conjunto de intrusiones que fue traumatizado por primera vez por Aqua Security en agosto de 2024 que implicaba el uso de una cepa de malware denominada PG_MEM. La campaña se ha atribuido a un actor de amenaza que Wiz Wiz pira como Jinx-0126.
“El actor de amenazas ha evolucionado desde entonces, implementando técnicas de esparcimiento de defensa, como la implementación de binarios con un hash único por objetivo y ejecutar la carga útil del minero sin fondos, es probable que evadan la detección de (plataforma de protección de carga de carga en la abundancia) que se basan sólo en la reputación del hash”, dijeron los investigadores Avigayil Mechtinger, Yaara Shriki y Gekochinski.
Wiz igualmente ha revelado que la campaña probablemente ha reclamado a más de 1.500 víctimas hasta la aniversario, lo que indica que las instancias de PostgreSQL expuestas públicamente con credenciales débiles o predecibles son lo suficientemente frecuentes como para convertirse en un objetivo de ataque para los actores de amenazas oportunistas.
El aspecto más distintivo de la campaña es el exceso de la copia … del comando del software SQL para ejecutar comandos de shell arbitrarios en el host.
El llegada brindado por la explotación exitosa de los servicios PostgreSQL débilmente configurados se utiliza para sufrir a sitio un inspección preliminar y eliminar una carga útil codificada Base64, que, en verdad, es un script que mata a los mineros de criptomonedas de la competencia y deja caer un binario binario con nombre binario.
Además se descarga en el servidor un Ofuscated Golang Binary CodenMader Postmaster que imita el servidor permitido de la almohadilla de datos multiusuario PostgreSQL. Está diseñado para configurar la persistencia en el host usando un trabajo cron, crear un nuevo rol con privilegios elevados y escribir otro binario llamado CPU_HU al disco.
CPU_HU, por su parte, descarga la última traducción del XMRIG Miner de GitHub y lo venablo por fila a través de una técnica de Linux Filless conocida como MEMFD.
“El actor de amenaza está asignando un trabajador minero único a cada víctima”, dijo Wiz, y agregó que identificó tres billeteras diferentes vinculadas al actor de amenazas. “Cada billetera tenía aproximadamente 550 trabajadores. Combinado, esto sugiere que la campaña podría poseer estudioso más de 1,500 máquinas comprometidas”.
