Las instancias de PostgreSQL expuestas son el objetivo de una campaña en curso diseñada para obtener llegada no competente e implementar mineros de criptomonedas.
La firma de seguridad en la cúmulo Wiz dijo que la actividad es una modificación de un conjunto de intrusiones que fue impresionado por primera vez por Aqua Security en agosto de 2024 que implicaba el uso de una cepa de malware denominada PG_MEM. La campaña se ha atribuido a un actor de amenaza que Wiz Wiz pira como Jinx-0126.
«El actor de amenazas ha evolucionado desde entonces, implementando técnicas de despreocupación de defensa, como la implementación de binarios con un hash único por objetivo y ejecutar la carga útil del minero sin fondos, es probable que evadan la detección de (plataforma de protección de carga de carga en la cúmulo) que se basan sólo en la reputación del hash», dijeron los investigadores Avigayil Mechtinger, Yaara Shriki y Gekochinski.
Wiz igualmente ha revelado que la campaña probablemente ha reclamado a más de 1.500 víctimas hasta la término, lo que indica que las instancias de PostgreSQL expuestas públicamente con credenciales débiles o predecibles son lo suficientemente frecuentes como para convertirse en un objetivo de ataque para los actores de amenazas oportunistas.
El aspecto más distintivo de la campaña es el exageración de la copia … del comando del software SQL para ejecutar comandos de shell arbitrarios en el host.
El llegada brindado por la explotación exitosa de los servicios PostgreSQL débilmente configurados se utiliza para tolerar a límite un gratitud preliminar y eliminar una carga útil codificada Base64, que, en existencia, es un script que mata a los mineros de criptomonedas de la competencia y deja caer un binario binario con nombre binario.
Además se descarga en el servidor un Ofuscated Golang Binary CodenMader Postmaster que imita el servidor cierto de la saco de datos multiusuario PostgreSQL. Está diseñado para configurar la persistencia en el host usando un trabajo cron, crear un nuevo rol con privilegios elevados y escribir otro binario llamado CPU_HU al disco.
CPU_HU, por su parte, descarga la última lectura del XMRIG Miner de GitHub y lo asta por fila a través de una técnica de Linux Filless conocida como MEMFD.
«El actor de amenaza está asignando un trabajador minero único a cada víctima», dijo Wiz, y agregó que identificó tres billeteras diferentes vinculadas al actor de amenazas. «Cada billetera tenía aproximadamente 550 trabajadores. Combinado, esto sugiere que la campaña podría sobrevenir explotado más de 1,500 máquinas comprometidas».
