أكثر من 1500 خادم postgresql تتعرض للخطر في حملة تعدين العملة المشفرة بدون خيوط

01 أبريل 2025رافي لاكشمانانأمن cryptojacking / cloud

مثيلات PostgreSQL المكشوفة هي الهدف من حملة مستمرة مصممة للوصول غير المصرح بها ونشر عمال عمال العملة المشفرة.

قالت شركة الأمن السحابية Wiz إن النشاط هو متغير لمجموعة التسلل التي تم وضع علامة عليها لأول مرة من قبل Aqua Security في أغسطس 2024 والتي تضمنت استخدام سلالة البرامج الضارة التي يطلق عليها PG_MEM. نسبت الحملة إلى مسارات Wiz الممثل التهديد مثل Jinx-0126.

“لقد تطور ممثل التهديد منذ ذلك الحين ، حيث قام بتنفيذ تقنيات التهرب الدفاعية مثل نشر الثنائيات مع تجزئة فريدة لكل هدف وتنفيذ حمولة منجم الصدارة – من المحتمل أن تتهرب من الكشف عن طريق [cloud workload protection platform] الحلول التي تعتمد فقط على سمعة التجزئة ، “الباحثون Avigayil Mechtinger و Yaara Shriki و Gili Tikochinski قال.

كشفت Wiz أيضًا أن الحملة قد ادعت على الأرجح أكثر من 1500 ضحية ، مما يشير إلى أن مثيلات PostgresQL المعرضة للجمهور مع بيانات اعتماد ضعيفة أو يمكن التنبؤ بها سائدة بما يكفي لتصبح هدفًا للهجوم لممثلي التهديد الانتهازي.

الجانب الأكثر تميزًا في الحملة هو إساءة استخدام النسخة … من أمر البرنامج SQL لتنفيذ أوامر Shell التعسفية على المضيف.

يتم استخدام الوصول الذي يوفره الاستغلال الناجح لخدمات PostgreSQL التي تم تكوينها بشكل ضعيف لإجراء الاستطلاع الأولي وإسقاط حمولة Base64 المشفرة ، والتي ، في الواقع ، هي نص قذيفة يقتل عمال عمال عمال العملة المشفرة ويسقط ثنائيًا اسمه pg_core.

كما تم تنزيله على الخادم هو مدير مكتب بريدي ثنائي Golang يقلد خادم قاعدة بيانات مستخدمي PostgreSQL الشرعي. تم تصميمه لإعداد الثبات على المضيف باستخدام وظيفة CRON ، وإنشاء دور جديد بامتيازات مرتفعة ، وكتابة ثنائية أخرى تسمى CPU_HU على القرص.

CPU_HU ، من جانبها ، يقوم بتنزيل أحدث إصدار من XMrig Miner من github ويطلقه بلا خيال من خلال تقنية معروفة معروفة Linux المشار إليها باسم MEMFD.

وقال ويز: “إن ممثل التهديد يعين عامل تعدين فريد لكل ضحية” ، مضيفًا أنه حدد ثلاث محافظ مختلفة مرتبطة بممثل التهديد. “كان لكل محفظة ما يقرب من 550 عامل. مجتمعة ، وهذا يشير إلى أن الحملة كان يمكن أن تستفيد أكثر من 1500 آلة تعرضت للخطر.”