Публичные экземпляры PostgreSQL слабо защищены из-за предсказуемых учетных данных, что делает их привлекательной целью злоумышленников. Применяется нестандартное использование SQL-команды COPY... FROM PROGRAM для выполнения команд оболочки на целевых машинах. После получения доступа проводится тщательный анализ сети.
Основой атаки является вредоносный модуль PG_MEM, поставляемый в виде Base64-кодированного скрипта. Данный скрипт завершает работу конкурирующих криптомайнеров и размещает бинарный файл PG_CORE, что позволяет установить контроль над сервером.
На следующем этапе загружается обфусцированный Golang-бинарник под именем postmaster, имитирующий работу легитимного сервера PostgreSQL. Он обеспечивает установление стойкости через создание задания в cron и формирование новой учетной записи с повышенными привилегиями.
Бинарник cpu_hu, созданный в рамках атаки, загружает последнюю версию майнера XMRig с GitHub. Запуск майнера осуществляется с помощью fileless-техники memfd, что затрудняет обнаружение угрозы традиционными методами проверки файловых хешей.
Операция приписывается группе злоумышленников, отслеживаемой специалистами Wiz под кодовым именем JINX-0126. Первые упоминания подобного типа атак появились в отчете Aqua Security в августе 2024 года, что свидетельствует о быстрой эволюции применяемых методик.
Каждый скомпрометированный сервер получает уникальный идентификатор рабочего процесса, что подтверждено анализом экспертов Avigayil Mechtinger, Yaara Shriki и Gili Tikochinski. Применение уникальных хешей бинарников для каждого объекта позволяет обходить системы облачной защиты.
Общее число пострадавших машин превышает 1,500, что указывает на широкое распространение уязвимых экземпляров PostgreSQL. Тройное распределение криптовалютных кошельков с примерно 550 воркерами на каждом подтверждает масштабность кампании.
Использование SQL-уязвимостей для выполнения команд оболочки, наряду с fileless-технологиями, демонстрирует высокую изощренность атакующих. Такие методики требуют пересмотра подходов к защите серверов и усиления контроля за подозрительной активностью в цифровой инфраструктуре.
Изображение носит иллюстративный характер
Основой атаки является вредоносный модуль PG_MEM, поставляемый в виде Base64-кодированного скрипта. Данный скрипт завершает работу конкурирующих криптомайнеров и размещает бинарный файл PG_CORE, что позволяет установить контроль над сервером.
На следующем этапе загружается обфусцированный Golang-бинарник под именем postmaster, имитирующий работу легитимного сервера PostgreSQL. Он обеспечивает установление стойкости через создание задания в cron и формирование новой учетной записи с повышенными привилегиями.
Бинарник cpu_hu, созданный в рамках атаки, загружает последнюю версию майнера XMRig с GitHub. Запуск майнера осуществляется с помощью fileless-техники memfd, что затрудняет обнаружение угрозы традиционными методами проверки файловых хешей.
Операция приписывается группе злоумышленников, отслеживаемой специалистами Wiz под кодовым именем JINX-0126. Первые упоминания подобного типа атак появились в отчете Aqua Security в августе 2024 года, что свидетельствует о быстрой эволюции применяемых методик.
Каждый скомпрометированный сервер получает уникальный идентификатор рабочего процесса, что подтверждено анализом экспертов Avigayil Mechtinger, Yaara Shriki и Gili Tikochinski. Применение уникальных хешей бинарников для каждого объекта позволяет обходить системы облачной защиты.
Общее число пострадавших машин превышает 1,500, что указывает на широкое распространение уязвимых экземпляров PostgreSQL. Тройное распределение криптовалютных кошельков с примерно 550 воркерами на каждом подтверждает масштабность кампании.
Использование SQL-уязвимостей для выполнения команд оболочки, наряду с fileless-технологиями, демонстрирует высокую изощренность атакующих. Такие методики требуют пересмотра подходов к защите серверов и усиления контроля за подозрительной активностью в цифровой инфраструктуре.