Pesquisadores de cibersegurança desvendaram uma nova cepa de malware chamada PG_MEM, projetada para minerar criptomoedas após forçar a entrada (brute-force) em instâncias de banco de dados PostgreSQL.
"Ataques brute-force em Postgres envolvem tentativas repetidas de adivinhar as credenciais do banco de dados até que o acesso seja obtido, explorando senhas fracas", disse Assaf Morag, pesquisador de segurança da Aqua, em um relatório técnico.
"Uma vez acessado, os atacantes podem utilizar o comando SQL COPY FROM PROGRAM para executar comandos shell arbitrários no host, permitindo-lhes realizar atividades maliciosas como o roubo de dados ou a implantação de malware."
A cadeia de ataques observada pela empresa de segurança em nuvem inclui o direcionamento a bancos de dados PostgreSQL mal configurados para criar uma função de administrador no Postgres e explorar um recurso chamado PROGRAM para executar comandos shell.
Além disso, um ataque brute-force bem-sucedido é seguido pela realização de reconhecimento inicial pelo ator da ameaça e execução de comandos para retirar do usuário "postgres" as permissões de superusuário, restringindo assim os privilégios de outros atores de ameaças que possam ganhar acesso pelo mesmo método.
Os comandos shell são responsáveis por baixar dois payloads de um servidor remoto ("128.199.77[.]96"), nomeadamente PG_MEM e PG_CORE, que são capazes de encerrar processos concorrentes (por exemplo, Kinsing), configurar a persistência no host e, por fim, implantar o minerador de criptomoeda Monero.
Isso é realizado por meio do uso de um comando PostgreSQL chamado COPY, que permite copiar dados entre um arquivo e uma tabela de banco de dados.
Especificamente, ele arma um parâmetro conhecido como PROGRAM que permite ao servidor executar o comando passado e escrever os resultados da execução do programa na tabela.
"Embora a mineração de criptomoeda seja o principal impacto, nesse ponto o atacante também pode executar comandos, visualizar dados e controlar o servidor", disse Morag.
"Essa campanha está explorando bancos de dados Postgres voltados para a internet com senhas fracas.
Muitas organizações conectam seus bancos de dados à internet, a senha fraca é resultado de uma má configuração e falta de controles de identidade adequados."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...