Le istanze di PostgreSQL esposte sono l’obiettivo di una campagna in corso progettata per ottenere accesso non autorizzato e distribuire minatori di criptovaluta.
La società di sicurezza del cloud Wiz ha affermato che l’attività è una variante di un set di intrusioni che è stato contrassegnato per la prima volta da Aqua Safety nell’agosto 2024 che ha comportato l’uso di una tensione di malware soprannominata Pg_mem. La campagna è stata attribuita a un attore di minaccia Wiz Tracks come Jinx-0126.
“Da allora l’attore delle minacce si è evoluto, implementando tecniche di evasione della difesa come la distribuzione di binari con un hash unico per goal ed eseguendo il carico utile del minatore in modo filtrato – probabilmente eludere il rilevamento da soluzioni (piattaforma di protezione del carico di lavoro cloud) che si basano esclusivamente sulla reputazione di Hash dei ricercatori” disse.
Wiz ha anche rivelato che la campagna ha probabilmente rivendicato oltre 1.500 vittime fino advert oggi, indicando che istanze postgresql esposte pubblicamente con credenziali deboli o prevedibili sono abbastanza prevalenti da diventare un obiettivo di attacco per attori delle minacce opportunistiche.
L’aspetto più distintivo della campagna è l’abuso della copia … dal comando SQL del programma per eseguire comandi arbitrari di shell sull’host.
L’accesso concesso dal successo di sfruttamento dei servizi postgresql debolmente configurati viene utilizzato per condurre una ricognizione preliminare e far cadere un payload codificato da Base64, che, in realtà, è una sceneggiatura di conchiglia che uccide i minatori di criptovaluta in competizione e lascia cadere un binario chiamato PG_CORE.
Scaricato anche sul server è un postmaster binario di Golang Binary Offuscato imitazioni Il legittimo server di database multi-utente PostgreSQL. È progettato per impostare la persistenza sull’host usando un lavoro Cron, creare un nuovo ruolo con privilegi elevati e scrivere un altro binario chiamato CPU_HU su disco.
cpu_hu, per la sua parte, scarica l’ultima versione del Xmrig Miner da github e lancia in fila tramite una tecnica Fililess Linux nota denominata come memfd.
“L’attore delle minacce sta assegnando un unico lavoratore minerario a ciascuna vittima”, ha detto Wiz, aggiungendo che ha identificato tre diversi portafogli legati all’attore delle minacce. “Ogni portafoglio aveva circa 550 lavoratori. Insieme, ciò suggerisce che la campagna avrebbe potuto sfruttare oltre 1.500 macchine compromesse.”
