InforSec News: Hơn 1.500 máy chủ PostgreSQL bị xâm phạm trong chiến dịch khai thác tiền điện tử

Top Block Position

Hơn 1.500 máy chủ PostgreSQL bị xâm phạm trong chiến dịch khai thác tiền điện tử

Các phiên bản PostgreSQL bị lộ là mục tiêu của một chiến dịch đang diễn ra được thiết kế để truy cập trái phép và triển khai các công cụ khai thác tiền điện tử.

Hoạt động này là một biến thể của một nhóm xâm nhập lần đầu tiên được Aqua Security gắn cờ vào tháng 8 năm 2024 liên quan đến việc sử dụng một chủng phần mềm độc hại được đặt tên là PG_MEM.

Tác nhân đe dọa kể từ đó đã phát triển, triển khai các kỹ thuật trốn tránh phòng thủ như triển khai các tệp nhị phân với hàm băm duy nhất cho mỗi mục tiêu và thực thi payload miner, có khả năng trốn tránh sự phát hiện của các giải pháp bảo vệ dựa vào hash reputation. Chiến dịch có thể đã có hơn 1.500 nạn nhân cho đến nay, cho thấy các phiên bản PostgreSQL bị lộ công khai với thông tin đăng nhập yếu hoặc có thể dự đoán đủ phổ biến để trở thành mục tiêu tấn công cho các tác nhân đe dọa. Khía cạnh đặc biệt nhất của chiến dịch là lạm dụng COPY ... FROM PROGRAM SQL để thực hiện các lệnh shell tùy ý trên máy chủ.

Quyền truy cập được cung cấp bởi việc khai thác thành công các dịch vụ PostgreSQL được cấu hình yếu được sử dụng để tiến hành trinh sát sơ bộ và thả payload được mã hóa base64, trên thực tế, là một tập lệnh shell tiêu diệt các miner cạnh tranh và thả một tệp nhị phân có tên là PG_CORE.

Cũng được tải xuống máy chủ là một tệp nhị phân Golang bị xáo trộn có tên mã postmaster bắt chước máy chủ cơ sở dữ liệu nhiều người dùng PostgreSQL hợp pháp. Nó được thiết kế để thiết lập tính bền vững trên máy chủ bằng cách sử dụng cron job, tạo một vai trò mới với các đặc quyền nâng cao và viết một tệp nhị phân khác vào đĩa được gọi là cpu_hu. Về phần mình, cpu_hu tải xuống phiên bản mới nhất của công cụ khai thác XMRig từ GitHub và khởi chạy nó một cách không cần tệp thông qua kỹ thuật memfd.

Nguồn: thehackernews

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Máy tính để bàn ảo VDI.
Lưu trữ dữ liệu Drive.
Quản lý dịch vụ công nghệ thông tin ITSM.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học