PostgreSQL esposti: obiettivo di una campagna di mining di criptovalute
Le istanze di PostgreSQL esposte sono al centro di una campagna in corso che mira a ottenere accesso non autorizzato e distribuire miner di criptovalute. La società di sicurezza cloud Wiz ha identificato questa attività come una variante di un set di intrusioni segnalato per la prima volta da Aqua Security nell’agosto 2024, che coinvolgeva l’uso di un malware chiamato PG_MEM. La campagna è stata attribuita a un attore di minacce che Wiz traccia come JINX-0126.
Un aspetto distintivo di questa campagna è l’abuso del comando SQL COPY … FROM PROGRAM per eseguire comandi shell arbitrari sull’host. L’accesso ottenuto sfruttando i servizi PostgreSQL configurati in modo debole viene utilizzato per condurre una ricognizione preliminare e rilasciare un payload codificato in Base64, che in realtà è uno script shell che elimina miner di criptovalute concorrenti e rilascia un binario chiamato PG_CORE.
Wiz ha rivelato che la campagna ha probabilmente colpito oltre 1.500 vittime fino ad oggi, indicando che le istanze di PostgreSQL pubblicamente esposte con credenziali deboli o prevedibili sono abbastanza diffuse da diventare un obiettivo per attori di minacce opportunisti.
Il binario Golang offuscato, denominato postmaster, viene scaricato sul server e imita il legittimo server di database multiutente PostgreSQL. È progettato per stabilire la persistenza sull’host utilizzando un cron job, creare un nuovo ruolo con privilegi elevati e scrivere un altro binario chiamato cpu_hu su disco.
Il binario cpu_hu, a sua volta, scarica l’ultima versione del miner XMRig da GitHub e lo avvia senza file tramite una tecnica Linux nota come memfd. “L’attore di minacce assegna un lavoratore di mining unico a ciascuna vittima”, ha affermato Wiz, aggiungendo di aver identificato tre diversi portafogli collegati all’attore di minacce. “Ogni portafoglio aveva circa 550 lavoratori. Complessivamente, questo suggerisce che la campagna potrebbe aver sfruttato oltre 1.500 macchine compromesse”.
Nel corso del tempo, l’attore di minacce ha evoluto le sue tecniche, implementando metodi di evasione della difesa come il dispiegamento di binari con un hash unico per ogni obiettivo e l’esecuzione del payload del miner senza file, probabilmente per eludere il rilevamento da parte delle soluzioni di protezione del carico di lavoro cloud che si basano esclusivamente sulla reputazione degli hash dei file.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!