Les instances PostgreSQL exposées sont la cible d’une campagne en cours conçue pour obtenir un accès non autorisé et déployer des mineurs de crypto-monnaie.
La société de sécurité de cloud Wiz a déclaré que l’activité est une variante d’un ensemble d’intrusion qui a d’abord été signalée par Aqua Security en août 2024 qui impliquait l’utilisation d’une souche malveillante surnommée PG_MEM. La campagne a été attribuée à un acteur de menace, Wiz, les pistes Jinx-0126.
“L’acteur de menace a depuis évolué, mettant en œuvre des techniques d’évasion de défense telles que le déploiement de binaires avec un hachage unique par cible et l’exécution de la charge utile de mineur – susceptible d’échapper à la détection par [cloud workload protection platform] Solutions qui reposent uniquement sur la réputation du hachage de dos dit.
Wiz a également révélé que la campagne a probablement réclamé plus de 1 500 victimes à ce jour, ce qui indique que des instances postgresql exposées publiquement avec des références faibles ou prévisibles sont suffisamment répandues pour devenir une cible d’attaque pour les acteurs de menace opportuniste.
L’aspect le plus distinctif de la campagne est l’abus de la copie … de la commande SQL du programme pour exécuter des commandes de shell arbitraires sur l’hôte.
L’accès accordé par l’exploitation réussie de services Postgresql faiblement configurés est utilisé pour effectuer une reconnaissance préliminaire et déposer une charge utile en codé de base de base64, qui, en réalité, est un script shell qui tue les mineurs de crypto-monnaie concurrents et laisse tomber un binaire nommé PG_CORE.
Le serveur est également téléchargé sur le maître de poste de Golang binaire obscurci que imitation Le serveur de base de données multi-utilisateurs postgresql légitime. Il est conçu pour mettre en place de la persistance sur l’hôte à l’aide d’un travail cron, créer un nouveau rôle avec des privilèges élevés et écrire un autre binaire appelé cpu_hu à disque.
CPU_HU, pour sa part, télécharge la dernière version du Mineur XMRI à partir de GitHub et le lance sans fidèle via une technique sans fidèle Linux connue appelée MEMFD.
“L’acteur de menace attribue un travailleur minier unique à chaque victime”, a déclaré Wiz, ajoutant qu’il a identifié trois portefeuilles différents liés à l’acteur de menace. “Chaque portefeuille comptait environ 550 travailleurs. Combiné, cela suggère que la campagne aurait pu tirer parti de plus de 1 500 machines compromises.”




