Las instancias de PostgreSQL expuestas son el objetivo de una campaña en curso diseñada para obtener acceso no autorizado e implementar mineros de criptomonedas.
La firma de seguridad en la nube Wiz dijo que la actividad es una variante de un conjunto de intrusiones que fue marcado por primera vez por Aqua Security en agosto de 2024 que implicaba el uso de una cepa de malware denominada PG_MEM. La campaña se ha atribuido a un actor de amenaza que Wiz Wiz pira como Jinx-0126.
«El actor de amenazas ha evolucionado desde entonces, implementando técnicas de evasión de defensa, como la implementación de binarios con un hash único por objetivo y ejecutar la carga útil del minero sin fondos, es probable que evadan la detección de (plataforma de protección de carga de carga en la nube) que se basan únicamente en la reputación del hash», dijeron los investigadores Avigayil Mechtinger, Yaara Shriki y Gekochinski.
Wiz también ha revelado que la campaña probablemente ha reclamado a más de 1.500 víctimas hasta la fecha, lo que indica que las instancias de PostgreSQL expuestas públicamente con credenciales débiles o predecibles son lo suficientemente frecuentes como para convertirse en un objetivo de ataque para los actores de amenazas oportunistas.
El aspecto más distintivo de la campaña es el abuso de la copia … del comando del programa SQL para ejecutar comandos de shell arbitrarios en el host.
El acceso brindado por la explotación exitosa de los servicios PostgreSQL débilmente configurados se utiliza para llevar a cabo un reconocimiento preliminar y eliminar una carga útil codificada Base64, que, en realidad, es un script que mata a los mineros de criptomonedas de la competencia y deja caer un binario binario con nombre binario.
También se descarga en el servidor un Ofuscated Golang Binary CodenMader Postmaster que imita el servidor legítimo de la base de datos multiusuario PostgreSQL. Está diseñado para configurar la persistencia en el host usando un trabajo cron, crear un nuevo rol con privilegios elevados y escribir otro binario llamado CPU_HU al disco.
CPU_HU, por su parte, descarga la última versión del XMRIG Miner de GitHub y lo lanza por fila a través de una técnica de Linux Filless conocida como MEMFD.
«El actor de amenaza está asignando un trabajador minero único a cada víctima», dijo Wiz, y agregó que identificó tres billeteras diferentes vinculadas al actor de amenazas. «Cada billetera tenía aproximadamente 550 trabajadores. Combinado, esto sugiere que la campaña podría haber aprovechado más de 1,500 máquinas comprometidas».