Las instancias de PostgreSQL expuestas son el objetivo de una campaña en curso diseñada para obtener acceso no autorizado e implementar mineros de criptomonedas.
La firma de seguridad en la nube Wiz dijo que la actividad es una variante de un conjunto de intrusiones que fue marcado por primera vez por Aqua Security en agosto de 2024 que implicaba el uso de una cepa de malware denominada PG_MEM. La campaña se ha atribuido a un actor de amenaza que Wiz Wiz pira como Jinx-0126.
“Desde entonces, el actor de amenaza ha evolucionado, implementando técnicas de evasión de defensa, como la implementación de binarios con un hash único por objetivo y ejecutar la carga útil del minero sin fondos, probablemente evadir la detección de [cloud workload protection platform] Soluciones que dependen únicamente de la reputación del hash “, los investigadores Avigayil Mechtinger, Yaara Shriki y Gili Tikochinski dicho.
Wiz también ha revelado que la campaña probablemente ha reclamado a más de 1.500 víctimas hasta la fecha, lo que indica que las instancias de PostgreSQL expuestas públicamente con credenciales débiles o predecibles son lo suficientemente frecuentes como para convertirse en un objetivo de ataque para los actores de amenazas oportunistas.
El aspecto más distintivo de la campaña es el abuso de la copia … del comando del programa SQL para ejecutar comandos de shell arbitrarios en el host.
El acceso brindado por la explotación exitosa de los servicios PostgreSQL débilmente configurados se utiliza para llevar a cabo un reconocimiento preliminar y eliminar una carga útil codificada Base64, que, en realidad, es un script que mata a los mineros de criptomonedas de la competencia y deja caer un binario binario con nombre binario.
También se descarga en el servidor un misterio de correos con nombre binario de Golang ofondeado que imitadores El servidor legítimo de bases de datos multiusuario PostgreSQL. Está diseñado para configurar la persistencia en el host usando un trabajo cron, crear un nuevo rol con privilegios elevados y escribir otro binario llamado CPU_HU al disco.
cpu_hu, por su parte, descarga la última versión del Xmrig Miner Desde GitHub y lo inicia sin fila a través de una técnica de Linux Filless conocida denominada MEMFD.
“El actor de amenaza está asignando un trabajador minero único a cada víctima”, dijo Wiz, y agregó que identificó tres billeteras diferentes vinculadas al actor de amenazas. “Cada billetera tenía aproximadamente 550 trabajadores. Combinado, esto sugiere que la campaña podría haber aprovechado más de 1,500 máquinas comprometidas”.
About the Author
