Contoh PostgreSQL yang terpapar adalah target kampanye yang sedang berlangsung yang dirancang untuk mendapatkan akses yang tidak sah dan menggunakan penambang cryptocurrency.
Perusahaan keamanan cloud Wiz mengatakan kegiatan tersebut merupakan varian dari set intrusi yang pertama kali ditandai oleh Aqua Security pada Agustus 2024 yang melibatkan penggunaan strain malware yang dijuluki PG_MEM. Kampanye ini telah dikaitkan dengan aktor ancaman Wiz Tracks sebagai Jinx-0126.
“Aktor ancaman telah berkembang, menerapkan teknik penghindaran pertahanan seperti menyebarkan binari dengan hash unik per target dan melaksanakan muatan penambang tanpa filless – kemungkinan akan menghindari deteksi oleh oleh [cloud workload protection platform] Solusi yang hanya mengandalkan reputasi hash file, “peneliti Avigayil Mechtinger, Yaara Shriki, dan Gili Tikochinski mengatakan.
Wiz juga telah mengungkapkan bahwa kampanye tersebut kemungkinan telah mengklaim lebih dari 1.500 korban hingga saat ini, menunjukkan bahwa contoh-contoh postgresql yang terpapar secara publik dengan kredensial yang lemah atau dapat diprediksi cukup lazim untuk menjadi target serangan bagi para aktor ancaman oportunistik.
Aspek yang paling khas dari kampanye ini adalah penyalahgunaan salinan … Dari perintah SQL Program untuk menjalankan perintah shell sewenang -wenang pada host.
Akses yang diberikan oleh eksploitasi yang sukses dari layanan PostgreSQL yang dikonfigurasi dengan lemah digunakan untuk melakukan pengintaian awal dan menjatuhkan muatan yang dikodekan oleh basis64, yang, pada kenyataannya, adalah skrip shell yang membunuh penambang cryptocurrency yang bersaing dan menjatuhkan biner bernama PG_CORE.
Yang juga diunduh ke server adalah postmaster bertopi Golang Binary yang dikalahkan yang meniru server database multi-pengguna PostgreSQL yang sah. Ini dirancang untuk mengatur kegigihan pada host menggunakan pekerjaan cron, menciptakan peran baru dengan hak istimewa yang tinggi, dan menulis biner lain yang disebut cpu_hu ke disk.
CPU_HU, untuk bagiannya, mengunduh versi terbaru dari XMRIG Miner dari GitHub dan meluncurkannya tanpa filless melalui teknik Linux yang diketahui yang disebut sebagai MEMFD.
“Aktor ancaman menugaskan pekerja pertambangan yang unik untuk setiap korban,” kata Wiz, menambahkan bahwa itu mengidentifikasi tiga dompet berbeda yang terkait dengan aktor ancaman. “Setiap dompet memiliki sekitar 550 pekerja. Gabungan, ini menunjukkan bahwa kampanye dapat memanfaatkan lebih dari 1.500 mesin yang dikompromikan.”
