Threat Database Botnets Botnet PGMiner

Botnet PGMiner

Le operazioni di crypto-jacking sono state la nuova tendenza tra i cybercriminali. L'obiettivo finale è quasi sempre lo stesso: implementazione di un payload di crypto mining sulla macchina compromessa. Il punto in cui sono state osservate le innovazioni più rapide è il vettore di compromesso iniziale utilizzato da ciascuna botnet di criptazione. Ora, i ricercatori di infosec credono di aver scoperto la prima botnet di questo tipo che utilizza una controversa vulnerabilità di esecuzione di codice in modalità remota (RCE) PostgreSQL per compromettere i server di database. Il nome dato alla minaccia è PGMiner Botnet e utilizza le risorse delle vittime infette per estrarre monete Monero.

In termini di potenziali obiettivi, PostgreSQL si colloca tra i sistemi di gestione di database relazionali (RDBMS) open source più utilizzati quando si tratta di stabilire ambienti di produzione. Più specificamente, a partire da novembre 2020, PostgreSQL è stato segnalato come il quarto DBMS più utilizzato. Va notato che la vulnerabilità sfruttata dalla botnet PGMiner porta il tag "contestato". In sostanza, rappresenta una funzionalità che consente ai superutenti locali o remoti di eseguire script di shell arbitrari direttamente sui server. Nel 2019, la funzionalità è stata riconosciuta come una vulnerabilità e le è stata assegnata la designazione CVE-2019-9193. Tuttavia, la comunità PostgreSQL ha sostenuto che la funzionalità di per sé è perfettamente sicura fintanto che lo stato di superutente viene concesso solo a parti fidate insieme a sistemi di autenticazione e controllo degli accessi correttamente eseguiti.

Catena di attacchi di PGMiner

L'attività di infezione inizia con lo sfruttamento della controversa vulnerabilità PostgreSQL e continua con l'implementazione di un minaccioso payload di mining di monete. I criminali responsabili di PGMiner hanno stabilito diversi payload e quale utilizzare è deciso dall'architettura specifica del dispositivo compromesso.

Il payload più interessante che PGMiner sfrutta contro le architetture x86-64. È un file di payload eseguibile ELF che mostra una significativa sovrapposizione comportamentale con una variante SystemdMiner rilevata in precedenza, ma contiene anche modifiche significative. La minaccia di mining di monete è dotata di funzionalità anti-VM poiché esegue un controllo per VBoxGuestAdditions. Può anche rimuovere strumenti di monitoraggio della sicurezza del cloud come Aegis. Per evitare la potenziale concorrenza per le risorse limitate del sistema compromesso, la minaccia rimuove altri script, processi e record crontab del minatore rivali, nonché processi ad alta intensità di CPU tra cui ddg, aggiornamenti di sistema, ecc.

La comunicazione con i server Command-and-Control (C2, C&C) viene stabilita tramite proxy SOCKS5.

Tendenza

I più visti

Caricamento in corso...