Maruz kalan PostgreSQL örnekleri, yetkisiz erişim elde etmek ve kripto para birimi madencilerini dağıtmak için tasarlanmış devam eden bir kampanyanın hedefidir.
Bulut güvenlik firması Wiz, etkinliğin Ağustos 2024’te PG_MEM olarak adlandırılan kötü amaçlı bir suşun kullanımını içeren Aqua Security tarafından ilk olarak işaretlenen bir saldırı setinin varyantı olduğunu söyledi. Kampanya, bir tehdit oyuncusu Wiz’in Jinx-0126 olarak atfedilmesi.
“Tehdit oyuncusu o zamandan beri gelişti, hedef başına benzersiz bir karma ile ikili dosyaları dağıtmak ve madenci yükünü filessiz bir şekilde yürütme gibi savunma kaçınma tekniklerini uyguladı – muhtemelen tespitten kaçınabilir. [cloud workload protection platform] Yalnızca dosya karma itibarına dayanan çözümler, “araştırmacılar Avigayil Mechtinger, Yaara Shriki ve Gili Tikochinski söz konusu.
Wiz ayrıca, kampanyanın bugüne kadar 1.500’den fazla kurban iddia ettiğini ve bu da, zayıf veya öngörülebilir kimlik bilgilerine sahip halka açık PostgreSQL örneklerinin fırsatçı tehdit aktörleri için bir saldırı hedefi olacak kadar yaygın olduğunu gösterdi.
Kampanyanın en belirgin yönü, ana bilgisayarda keyfi kabuk komutları yürütmek için SQL komutundan kopyanın kötüye kullanılmasıdır.
Zayıf yapılandırılmış PostgreSQL hizmetlerinin başarılı bir şekilde kullanılmasının sağladığı erişim, ön keşif yapmak ve gerçekte, rakip kripto para madencilerini öldüren ve pg_core adlı bir ikili olarak düşüren bir kabuk betiği olan baz 64 kodlu bir yükü bırakmak için kullanılır.
Ayrıca sunucuya indirilen bir GoScated Golang İkili Koruma Alanı Postmaster taklit Meşru PostgreSQL Çok Kullanıcı Veritabanı Sunucusu. Bir cron işi kullanarak ev sahibi üzerinde kalıcılık oluşturmak, yükseltilmiş ayrıcalıklarla yeni bir rol oluşturmak ve diske CPU_HU adlı başka bir ikili yazmak için tasarlanmıştır.
CPU_HU, kendi adına, en son sürümünü indirir. Xmrig madenci GitHub’dan ve MEMFD olarak adlandırılan bilinen bir Linux Firless teknik aracılığıyla filessiz bir şekilde başlatır.
“Tehdit oyuncusu her kurbana benzersiz bir madencilik işçisi atıyor,” dedi Wiz, tehdit oyuncusuna bağlı üç farklı cüzdan belirledi. “Her cüzdanın yaklaşık 550 işçisi vardı. Bu, kampanyanın 1.500’den fazla uzlaşmış makineden yararlanabileceğini gösteriyor.”
