Novo Malware PG_MEM tem como alvo bancos de dados PostgreSQL para mineração de cripto
Pesquisadores de segurança cibernética desempacotaram uma nova cepa de malware apelidada de PG_MEM que é projetada para minerar criptomoedas depois de forçar o caminho para as instâncias de banco de dados do PostgreSQL.
“Os ataques da força bruta ao Postgres envolvem repetidamente tentar adivinhar as credenciais do banco de dados até que o acesso seja obtido, explorando senhas fracas”, relatou o pesquisador de segurança da Aquasaid, Assaf Morag, em um relatório técnico.
“Uma vez acessados, os atacantes podem alavancar a COPY. Comando SQL do PROGRAMA para executar comandos de shell arbitrários no host, permitindo que eles executem atividades maliciosas, como roubo de dados ou implantação de malware.
A cadeia de ataque observada pela empresa de segurança na nuvem envolve a segmentação de bancos de dados PostgreSQL mal configurados para criar uma função de administrador no Postgres e explorar um recurso chamado PROGRAMA para executar comandos de shell.
Além disso, um ataque de força bruta bem-sucedido é seguido pelo agente da ameaça que conduz o reconhecimento inicial e executa comandos para retirar o usuário “postgres” das permissões de superusuário, restringindo assim os privilégios de outros agentes de ameaças que possam obter acesso através do mesmo método.
Os comandos shell são responsáveis por soltar duas cargas úteis de um servidor remoto (“128.199.77 [.]96”), ou seja, PG_MEM e PG_CORE, que são capazes de encerrar processos concorrentes (por exemplo, Kinsing), configurar a persistência no host e, finalmente, implantar o minerador de criptomoedas Monero.
Isso é feito fazendo uso de um comando PostgreSQL chamado COPY, que permite copiar dados entre um arquivo e uma tabela de banco de dados. Ele particularmente arma um parâmetro conhecido como PROGRAMA que permite ao servidor executar o comando passado e escrever os resultados de execução do programa para a tabela.
“Embora [a mineração de criptomoedas] seja o principal impacto, neste momento o invasor também pode executar comandos, visualizar dados e controlar o servidor”, informou Morag.
“Esta campanha está explorando a Internet enfrentando bancos de dados do Postgres com senhas fracas. Muitas organizações conectam seus bancos de dados à Internet, a senha fraca é resultado de uma configuração incorreta e falta de controles de identidade adequados.
A divulgação ocorre quando o Datadog Security Labs detalhou uma campanha de ataque oportunista que aproveita a falha do Log4Shell (CVE-2021-44228, pontuação CVSS: 10.0) no Apache Log4j para deixar cair um script bash ofuscado que é capaz de coletar informações do sistema, bem como implantar um minerador XMRig e um shell reverso para acesso remoto.
Fonte: https://thehackernews.com/2024/08/new-malware-pgmem-targets-postgresql.html