Cảnh báo phần mềm độc hại mới PG_MEM nhắm vào cơ sở dữ liệu PostgreSQL để khai thác tiền điện tử

Một loại phần mềm độc hại mới có tên là PG_MEM, được thiết kế để khai thác tiền điện tử sau khi thực hiện các cuộc tấn công brute-force vào các cơ sở dữ liệu PostgreSQL.

Các cuộc tấn công brute-force vào Postgres liên quan đến việc thử nhiều lần để đoán mật khẩu của cơ sở dữ liệu cho đến khi truy cập được, khai thác các mật khẩu yếu. Khi đã truy cập được, kẻ tấn công có thể tận dụng lệnh SQL COPY … FROM PROGRAM để thực thi các lệnh shell tùy ý trên máy chủ, cho phép chúng thực hiện các hoạt động độc hại như đánh cắp dữ liệu hoặc triển khai phần mềm độc hại.

Hơn nữa, sau khi thực hiện thành công cuộc tấn công brute-force, kẻ tấn công sẽ tiến hành dò tìm ban đầu và thực thi các lệnh để chiếm quyền admin của người dùng “postgres,” từ đó hạn chế quyền hạn của các kẻ tấn công khác có thể truy cập bằng cùng phương pháp này.

Các lệnh shell này chịu trách nhiệm tải về hai payload từ một máy chủ từ xa (“128.199.77[.]96”), cụ thể là PG_MEM và PG_CORE, có khả năng chấm dứt các tiến trình cạnh tranh (ví dụ: Kinsing), thiết lập tính kiên cố trên máy chủ, và cuối cùng triển khai phần mềm khai thác tiền điện tử Monero.

Điều này được thực hiện bằng cách sử dụng lệnh COPY của PostgreSQL, cho phép sao chép dữ liệu giữa một tệp và một bảng cơ sở dữ liệu. Đặc biệt, nó khai thác một tham số có tên là PROGRAM, cho phép máy chủ chạy lệnh được truyền vào và ghi kết quả thực thi của chương trình vào bảng.

Mặc dù khai thác tiền điện tử là tác động chính, nhưng tại thời điểm này, kẻ tấn công cũng có thể chạy các lệnh, xem dữ liệu và kiểm soát máy chủ.

Chiến dịch này đang khai thác các cơ sở dữ liệu Postgres tiếp xúc với internet và có mật khẩu yếu. Nhiều tổ chức kết nối cơ sở dữ liệu của họ với internet, mật khẩu yếu là hệ quả của việc cấu hình sai và thiếu các biện pháp kiểm soát nhận dạng hợp lý.