В последние месяцы хакеры все чаще нацеливаются на неправильно сконфигурированные службы PostgreSQL, которые зачастую имеют слабые учетные данные по умолчанию. Это приводит к несанкционированному доступу и, как следствие, к потенциальному удаленному выполнению кода. Тактика, используемая злоумышленниками, включает в себя ряд сложных методов, направленных на обход современных систем защиты.
Методы атакующих
Хакеры используют функцию COPY … FROM, что позволяет им доставлять и выполнять вредоносную полезную нагрузку. После получения доступа они:
- выполняют базовые команды обнаружения для оценки среды;
- определяют наличие целевой службы PostgreSQL;
- разворачивают скрипт-дроппер, загружая обфусцированный двоичный файл «postmaster».
Технологии обфускации
Двоичный файл «postmaster» представляет собой исполняемый файл, написанный на GoLang, который использует методы упаковки UPX, чтобы избежать обнаружения. При его выполнении он добавляет зашифрованную конфигурацию и записывает на диск еще один обфусцированный двоичный файл «cpu_hu». Этот файл также затрудняет анализ, так как он содержит встроенные данные о конфигурации криптоминера.
Кампания JINX-0126
Текущая вредоносная кампания, известная как JINX-0126 и впервые задокументированная Aqua Security, активно использует уязвимости серверов PostgreSQL для развертывания криптоминеров XMRig-C3. Хакеры применили следующие усовершенствования:
- изменение хэша вредоносных двоичных файлов для каждой цели;
- запуск майнера без использования файлов.
Эта гора стратегии позволяет обходить решения cloud workload protection platform (CWPP), которые полагаются на распознавание хэша файла. Интересно, что за каждой жертвой закреплен уникальный работник майнинга, что свидетельствует о масштабности операции. Анализ показывает, что кампания может затронуть более 1500 взломанных систем, при этом хакеры связаны с тремя различными криптовалютными кошельками.
Проблема уязвимостей в облаках
Мониторинг показал, что почти в 90% облачных сред размещаются экземпляры PostgreSQL, и значительная часть из них доступна общественности. Это создает серьезную уязвимость, которую могут использовать хакеры. Возможности обнаружения были расширены благодаря инструментам динамического сканирования, которые выявляют неправильно настроенные службы PostgreSQL и слабые настройки учетных данных.
Защита от угроз
Кроме того, датчики времени выполнения фокусируются на отслеживании событий и поведения, указывающих на этот ландшафт угроз. Они выдают предупреждения по мере прохождения злоумышленниками различных этапов своей атаки:
- эксплуатация;
- доставка начальной полезной нагрузки;
- выполнение операций по удалению данных без использования файлов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая угроза: хакеры атакуют уязвимые серверы PostgreSQL".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
