Instâncias expostas do PostgreSQL são o alvo de uma campanha em andamento projetada para ganhar acesso não autorizado e implantar mineradores de criptomoedas.
A empresa de segurança na nuvem Wiz disse que a atividade é uma variante de um conjunto de intrusões que foi sinalizado pela primeira vez pela Aqua Security em agosto de 2024, envolvendo o uso de uma cepa de malware apelidada de PG_MEM.
A campanha foi atribuída a um ator de ameaças que a Wiz monitora como JINX-0126.
"O ator de ameaças evoluiu desde então, implementando técnicas de evasão de defesa, como a implantação de binários com um hash único por alvo e executando o arquivo do minerador de forma fileless – provavelmente para evadir a detecção por soluções de [cloud workload protection platform] que dependem exclusivamente da reputação do hash do arquivo," disseram os pesquisadores Avigayil Mechtinger, Yaara Shriki e Gili Tikochinski.
A Wiz também revelou que a campanha provavelmente fez mais de 1.500 vítimas até o momento, indicando que instâncias do PostgreSQL expostas publicamente com credenciais fracas ou previsíveis são suficientemente prevalentes para se tornarem um alvo de ataque para atores de ameaças oportunistas.
O aspecto mais distintivo da campanha é o abuso do comando SQL COPY FROM PROGRAM para executar comandos shell arbitrários no host.
O acesso obtido pela exploração bem-sucedida de serviços PostgreSQL configurados de forma fraca é usado para realizar reconhecimento preliminar e soltar uma payload codificada em Base64, que, na realidade, é um script shell que elimina mineradores concorrentes de criptomoedas e solta um binário chamado PG_CORE.
Também é baixado no servidor um binário ofuscado em Golang chamado postmaster que imita o legítimo servidor de banco de dados multiusuário PostgreSQL.
Ele é projetado para estabelecer persistência no host usando um trabalho cron, criar uma nova role com privilégios elevados e escrever outro binário chamado cpu_hu no disco.
O cpu_hu, por sua vez, baixa a última versão do minerador XMRig do GitHub e o lança de forma fileless através de uma técnica Linux fileless conhecida como memfd.
"O ator de ameaças está atribuindo um trabalhador de mineração único para cada vítima", disse a Wiz, acrescentando que identificou três carteiras diferentes ligadas ao ator de ameaças.
Cada carteira tinha aproximadamente 550 trabalhadores.
Combinado, isso sugere que a campanha poderia ter comprometido mais de 1.500 máquinas.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...