PGMiner Botnet

Crypto-jacking-operaties zijn de hete nieuwe trend onder cybercriminelen. Het einddoel is bijna altijd hetzelfde: inzet van een cryptomining-payload op de gecompromitteerde machine. Waar de snelste innovaties zijn waargenomen, is de eerste compromisvector die elk cryptomining-botnet gebruikt. Nu geloven infosec-onderzoekers dat ze het eerste botnet van dit type hebben ontdekt dat een omstreden PostgreSQL-kwetsbaarheid voor externe code-uitvoering (RCE) gebruikt om databaseservers te compromitteren. De naam die aan de dreiging is gegeven, is PGMiner Botnet en gebruikt de bronnen van de geïnfecteerde slachtoffers om Monero-munten te delven.

In termen van potentiële doelen behoort PostgreSQL tot de meest gebruikte open-source relationele databasebeheersystemen (RDBMS) als het gaat om het opzetten van productieomgevingen. Meer specifiek wordt gemeld dat PostgreSQL vanaf november 2020 het 4e meest gebruikte DBMS wordt. Opgemerkt moet worden dat de kwetsbaarheid die wordt misbruikt door het PGMiner-botnet de tag 'betwist' draagt. In de kern vertegenwoordigt het een functie waarmee lokale of externe superusers willekeurige shell-scripts rechtstreeks op de servers kunnen uitvoeren. In 2019 werd de functie erkend als een kwetsbaarheid en kreeg de aanduiding CVE-2019-9193 toegewezen. De PostgreSQL-gemeenschap voerde echter aan dat de functie op zichzelf volkomen veilig is zolang de superuser-status alleen wordt toegekend aan vertrouwde partijen in combinatie met goed draaiende toegangscontrole- en authenticatiesystemen.

De aanvalsketen van PGMiner

De infectieactiviteit begint met de exploitatie van de betwiste PostgreSQL-kwetsbaarheid en gaat door met de inzet van een bedreigende payload voor het delven van munten. De criminelen die verantwoordelijk zijn voor PGMiner hebben verschillende payloads vastgesteld, en welke te gebruiken wordt bepaald door de specifieke architectuur van het gecompromitteerde apparaat.

De interessantere payload die PGMiner gebruikt tegen x86-64-architecturen. Het is een ELF-uitvoerbaar payload-bestand dat aanzienlijke gedragsoverlap vertoont met een eerder gedetecteerde SystemdMiner-variant, maar ook belangrijke wijzigingen bevat. De coin mining-bedreiging is uitgerust met anti-VM-functionaliteiten omdat het een controle uitvoert op VBoxGuestAdditions. Het kan ook tools voor bewaking van cloudbeveiliging, zoals Aegis, verwijderen. Om potentiële concurrentie om de beperkte bronnen van het gecompromitteerde systeem te vermijden, verwijdert de dreiging andere rivaliserende mijnwerkerscripts, processen en crontab-records, evenals CPU-intensieve processen, waaronder ddg, systeemupdates, enz.

Communicatie met de Command-and-Control-servers (C2, C&C) wordt tot stand gebracht via SOCKS5-proxy's.