HackerNews 编译,转载请注明出处:
暴露的PostgreSQL实例正成为持续攻击活动的目标,攻击者企图非法获取访问权限并部署加密货币挖矿程序。
云安全公司Wiz表示,此次攻击活动是2024年8月Aqua Security首次发现的入侵活动变种,涉及使用一种名为PG_MEM的恶意软件。该活动被归因于Wiz追踪的威胁行为者JINX-0126。
研究人员阿维盖尔·梅赫廷格、亚拉·施里基和吉莉·蒂科钦斯基表示:“该威胁行为者不断进化,采取了防御规避技术,例如为每个目标部署具有独特哈希值的二进制文件,并以无文件方式执行挖矿载荷,这可能是为了规避仅依赖文件哈希信誉的云工作负载保护平台的检测。”
Wiz还透露,该活动目前已导致超过1500名受害者受害,这表明具有弱密码或可预测凭据的公开暴露的PostgreSQL实例足够普遍,足以成为机会主义威胁行为者的攻击目标。
此次攻击活动最突出的特点是滥用COPY…FROM PROGRAM SQL命令在主机上执行任意shell命令。
成功利用配置不当的PostgreSQL服务获得的访问权限被用于进行初步侦查,并投放一个Base64编码的载荷,实际上这是一个shell脚本,用于终止竞争性的加密货币挖矿程序,并投放一个名为PG_CORE的二进制文件。
服务器上还下载了一个经过混淆处理的Golang二进制文件,代号为postmaster,它模仿合法的PostgreSQL多用户数据库服务器。它被设计为利用cron作业在主机上建立持久性,创建一个具有提升权限的新角色,并将另一个名为cpu_hu的二进制文件写入磁盘。
cpu_hu从GitHub下载最新版本的XMRig矿工,并通过一种称为memfd的已知Linux无文件技术在内存中启动它。
“威胁行为者为每个受害者分配了一个独特的挖矿工人,”Wiz表示,并补充说他们已识别出与该威胁行为者相关的三个不同钱包。“每个钱包大约有550个工人。综合来看,这表明该活动可能利用了超过1500台被攻陷的机器。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
