Pesquisadores de segurança cibernética lançaram um novo tipo de malware chamado PG_MEM, projetado para minerar criptomoedas após forçar um caminho para instâncias de banco de dados PostgreSQL.
“Os ataques de força bruta ao Postgres envolvem múltiplas tentativas de adivinhar o banco de dados até que ele esteja acessível, usando senhas fracas”, disse o pesquisador de segurança Aqua, Assaf Morag, em um relatório técnico.
“Uma vez acessados, os invasores podem usar o comando SQL COPY… FROM PROGRAM para executar comandos shell arbitrariamente no host, permitindo-lhes realizar ações maliciosas, como roubo de dados ou liberação de malware.”
Uma série de ataques vistos pela empresa de segurança em nuvem incluem o direcionamento de credenciais PostgreSQL mal configuradas para criar uma função de administrador no Postgres e o uso de um recurso chamado PROGRAM para executar comandos shell.
Além disso, um ataque de força bruta bem-sucedido é seguido por um agente de ameaça que realiza uma investigação inicial e emite comandos para privar o usuário “postgres” de permissões de superusuário, limitando assim os direitos de outros agentes de ameaça que podem obter acesso da mesma maneira. .
Os comandos shell são responsáveis por descartar duas cargas do servidor remoto (“128.199.77[.]96”), nomeadamente PG_MEM e PG_CORE, capazes de encerrar processos concorrentes (por exemplo, Kinsing), definir persistência no host e, finalmente, enviar a mina da criptomoeda Monero.
Isso é feito usando um comando PostgreSQL chamado COPY, que permite que os dados sejam copiados entre um arquivo e uma tabela de banco de dados. Ele usa especificamente um parâmetro conhecido como PROGRAM que permite ao servidor executar o comando passado e gravar os resultados da execução do programa em uma tabela.
“Na hora [cryptocurrency mining] “O maior impacto é que um invasor agora pode executar comandos, visualizar dados e controlar o servidor”, disse Morag.
“Esta campanha usa um banco de dados Postgres voltado para a Internet com senhas fracas. Muitas organizações conectam seus bancos de dados à Internet, senhas fracas são o resultado de uma configuração inadequada e da falta de controles de identidade adequados.”
