Instâncias expostas do PostgreSQL são o alvo de uma campanha em andamento projetada para ganhar acesso não autorizado e implantar mineradores de criptomoedas.
A empresa de segurança na nuvem Wiz disse que a atividade é uma variante de um conjunto de intrusões que foi sinalizado pela primeira vez pela Aqua Security em agosto de 2024, envolvendo o uso de uma cepa de malware apelidada de PG_MEM.
A campanha foi atribuída a um ator de ameaças que a Wiz monitora como JINX-0126.
"O ator de ameaças evoluiu desde então, implementando técnicas de evasão de defesa, como a implantação de binários com um hash único por alvo e executando o arquivo do minerador de forma fileless – provavelmente para evadir a detecção por soluções de [cloud workload protection platform] que dependem exclusivamente da reputação do hash do arquivo," disseram os pesquisadores Avigayil Mechtinger, Yaara Shriki e Gili Tikochinski.
A Wiz também revelou que a campanha provavelmente fez mais de 1.500 vítimas até o momento, indicando que instâncias do PostgreSQL expostas publicamente com credenciais fracas ou previsíveis são suficientemente prevalentes para se tornarem um alvo de ataque para atores de ameaças oportunistas.
O aspecto mais distintivo da campanha é o abuso do comando SQL COPY FROM PROGRAM para executar comandos shell arbitrários no host.
O acesso obtido pela exploração bem-sucedida de serviços PostgreSQL configurados de forma fraca é usado para realizar reconhecimento preliminar e soltar uma payload codificada em Base64, que, na realidade, é um script shell que elimina mineradores concorrentes de criptomoedas e solta um binário chamado PG_CORE.
Também é baixado no servidor um binário ofuscado em Golang chamado postmaster que imita o legítimo servidor de banco de dados multiusuário PostgreSQL.
Ele é projetado para estabelecer persistência no host usando um trabalho cron, criar uma nova role com privilégios elevados e escrever outro binário chamado cpu_hu no disco.
O cpu_hu, por sua vez, baixa a última versão do minerador XMRig do GitHub e o lança de forma fileless através de uma técnica Linux fileless conhecida como memfd.
"O ator de ameaças está atribuindo um trabalhador de mineração único para cada vítima", disse a Wiz, acrescentando que identificou três carteiras diferentes ligadas ao ator de ameaças.
Cada carteira tinha aproximadamente 550 trabalhadores.
Combinado, isso sugere que a campanha poderia ter comprometido mais de 1.500 máquinas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...