正在进行的一场攻击活动盯上了暴露在外的 PostgreSQL 实例,攻击者试图未经授权访问这些服务器并部署加密货币挖矿程序。
云安全公司 Wiz 表示,此次攻击活动是 2024 年 8 月 Aqua Security 首次发现的一种入侵手段的变体,当时涉及一种名为 PG_MEM 的恶意软件。Wiz 追踪到,实施此次攻击的威胁行为者是 JINX-0126。
研究人员阿维盖尔・梅希廷格、亚拉・施里基和吉利・蒂科钦斯基指出:“此后,该威胁行为者不断进化,采用了诸如为每个目标部署具有独特哈希值的二进制文件,以及无文件方式执行挖矿程序负载等逃避防御的技术,这样做很可能是为了躲避那些仅依赖文件哈希信誉的 [云工作负载保护平台] 解决方案的检测。”
Wiz 还透露,截至目前,这场攻击活动的受害者可能已超过 1500 个。这表明,那些公开暴露且使用弱密码或易猜密码的 PostgreSQL 实例数量众多,足以成为机会主义威胁行为者的攻击目标。
此次攻击活动最显著的特点是,攻击者滥用 “COPY...FROM PROGRAM”SQL 命令,在主机上执行任意 Shell 命令。
成功利用配置薄弱的 PostgreSQL 服务获得访问权限后,攻击者会进行初步侦察,并投放一个经过 Base64 编码的负载。实际上,这个负载是一个 Shell 脚本,它会终止其他竞争的加密货币挖矿程序,并投放一个名为 PG_CORE 的二进制文件。
服务器上还会下载一个经过混淆处理、代号为 postmaster 的 Go 语言二进制文件,它会模仿合法的 PostgreSQL 多用户数据库服务器。其目的是通过 cron 任务在主机上实现持久化,创建一个具有更高权限的新角色,并将另一个名为 cpu_hu 的二进制文件写入磁盘。
至于 cpu_hu,它会从 GitHub 上下载最新版本的 XMRig 挖矿程序,并通过一种名为 memfd 的已知 Linux 无文件技术以无文件方式启动该挖矿程序。
Wiz 称:“该威胁行为者为每个受害者分配了一个独特的挖矿节点。” 该公司还识别出了与该威胁行为者相关的三个不同钱包,并补充说,“每个钱包大约有 550 个节点。综合来看,这意味着此次攻击活动可能利用了超过 1500 台被入侵的机器。”
转自:https://thehackernews.com/2025/04/over-1500-postgresql-servers.html
翻译:游侠安全网 https://www.youxia.org
