Ssylka

Кибератака PostgreSQL: 1500+ серверов под криптомайнинг

Публичные экземпляры PostgreSQL слабо защищены из-за предсказуемых учетных данных, что делает их привлекательной целью злоумышленников. Применяется нестандартное использование SQL-команды COPY... FROM PROGRAM для выполнения команд оболочки на целевых машинах. После получения доступа проводится тщательный анализ сети.
Кибератака PostgreSQL: 1500+ серверов под криптомайнинг
Изображение носит иллюстративный характер

Основой атаки является вредоносный модуль PG_MEM, поставляемый в виде Base64-кодированного скрипта. Данный скрипт завершает работу конкурирующих криптомайнеров и размещает бинарный файл PG_CORE, что позволяет установить контроль над сервером.

На следующем этапе загружается обфусцированный Golang-бинарник под именем postmaster, имитирующий работу легитимного сервера PostgreSQL. Он обеспечивает установление стойкости через создание задания в cron и формирование новой учетной записи с повышенными привилегиями.

Бинарник cpu_hu, созданный в рамках атаки, загружает последнюю версию майнера XMRig с GitHub. Запуск майнера осуществляется с помощью fileless-техники memfd, что затрудняет обнаружение угрозы традиционными методами проверки файловых хешей.

Операция приписывается группе злоумышленников, отслеживаемой специалистами Wiz под кодовым именем JINX-0126. Первые упоминания подобного типа атак появились в отчете Aqua Security в августе 2024 года, что свидетельствует о быстрой эволюции применяемых методик.

Каждый скомпрометированный сервер получает уникальный идентификатор рабочего процесса, что подтверждено анализом экспертов Avigayil Mechtinger, Yaara Shriki и Gili Tikochinski. Применение уникальных хешей бинарников для каждого объекта позволяет обходить системы облачной защиты.

Общее число пострадавших машин превышает 1,500, что указывает на широкое распространение уязвимых экземпляров PostgreSQL. Тройное распределение криптовалютных кошельков с примерно 550 воркерами на каждом подтверждает масштабность кампании.

Использование SQL-уязвимостей для выполнения команд оболочки, наряду с fileless-технологиями, демонстрирует высокую изощренность атакующих. Такие методики требуют пересмотра подходов к защите серверов и усиления контроля за подозрительной активностью в цифровой инфраструктуре.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов