Over 1,500 PostgreSQL Servers Compromised in Fileless Cryptocurrency Mining Campaign
2025/04/01 TheHackerNews — インターネットに露出する PostgreSQL インスタンスが、進行中のキャンペーンのターゲットにされているが、その目的は、不正アクセスの取得と、暗号通貨マイナーの展開にあるという。クラウド・セキュリティ企業 Wiz によると、2024年8月の時点で Aqua Security がフラグを付けた、侵入セットの亜種による活動が検出され、PG_MEM と呼ばれるマルウェア株が展開されているという。このキャンペーンは、Wiz が JINX-0126として追跡している、脅威アクターによるものとされる。
Wiz の研究者である Avigayil Mechtinger/Yaara Shriki/Gili Tikochinski は、「この脅威アクターは、初めて検知された以降においても進化を続け、ターゲットごとに一意のハッシュを持つバイナリを展開し、ファイルレスで実行するマイナー・ペイロードといった、防御を回避するテクニックを実装している。つまり、ファイル・ハッシュの評判のみに依存する、Cloud Workload Protection Platform ソリューションの検出を回避する可能性が高い」と述べている。
さらに Wiz は、このキャンペーンにより、これまでに 1,500 人以上の被害者が出た可能性についても明らかにしている。つまり、脆弱な認証情報や、予測可能な認証情報を持つ PostgreSQL インスタンスが、インターネットに大量に公開され、日和見的な脅威アクターたちの標的にされている状況が示唆される。
このキャンペーンにおける、最も特徴的な側面は、”COPY … FROM PROGRAM SQL” コマンドを悪用して、ホスト上で任意のシェル・コマンドを実行するところになる。
脆弱にコンフィグされた PostgreSQL サービスの悪用に成功した攻撃者は、そこで得られたアクセスを用いて予備偵察を実施し、また、Base64 エンコードされたペイロードをドロップしていく。このペイロードの実体は、競合する暗号通貨マイナーを強制終了させ、PG_CORE というバイナリをドロップするシェル・スクリプトである。
それに加えて、サーバ上にダウンロードされるものには、難読化されたコード名 postmaster を持つ Golang バイナリがあり、それにより正規の PostgreSQL マルチユーザー・ データベース・サーバが模倣される。具体的に言うと、”cron” ジョブを悪用してホスト上で永続性を設定し、昇格した権限を持つ新たなロールを作成し、”cpu_hu” というバイナリをディスクに書き込むように設計されている。
この “cpu_hu” は、GitHub から XMRig マイナーの最新バージョンをダウンロードし、Linux のテクノロジーである “memfd” を用いてファイルレスで起動する。
Wiz は、「この脅威アクターは、それぞれの被害者に対して、固有のマイニング・ワーカーを割り当てる。さらに、脅威アクターにリンクされた3種類ウォレットが特定された。それぞれのウォレットには、約 550 のワーカーがいた。それらを合わせると、このキャンペーンにおいては、侵害済みの 1,500 台以上のマシンが悪用された可能性が示唆される」と指摘している。
ここのところ PostgreSQL 関連の脆弱性情報が続いており、2025/03/27 「Appsmith の脆弱性 CVE-2024-55963 などが FIX:PostgreSQL ミスコンフィグと RCE PoC」、2025/02/13 に「PostgreSQL ゼロデイ脆弱性 CVE-2025-1094:BeyondTrust を介した米財務省侵害の原因か?」という記事を投稿しています。よろしければ、PostgreSQL で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.