PGMiner Botnet

As operações de crypto-jacking têm sido a nova tendência entre os cibercriminosos. O objetivo final é quase sempre o mesmo - implantação de uma carga útil de cripto-mineração na máquina comprometida. Onde as inovações mais rápidas foram observadas é o vetor de compromisso inicial que cada botnet de mineração de criptografia emprega. Agora, os pesquisadores da infosec acreditam ter descoberto o primeiro botnet desse tipo que está usando uma vulnerabilidade de execução remota de código (RCE) PostgreSQL para comprometer os servidores de banco de dados. O nome dado à ameaça é PGMiner Botnet e usa os recursos das vítimas infectadas para extrair moedas Monero.

Em termos de alvos em potencial, o PostgreSQL está entre os sistemas de gerenciamento de banco de dados relacional (RDBMS) de código aberto mais amplamente usados quando se trata de estabelecer ambientes de produção. Mais especificamente, em novembro de 2020, o PostgreSQL foi relatado como se tornando o quarto SGBD mais usado. Deve-se notar que a vulnerabilidade explorada pelo botnet PGMiner carrega a marca de 'disputado'. Em seu núcleo, ele representa um recurso que permite que superusuários locais ou remotos executem scripts de shell arbitrários diretamente nos servidores. Em 2019, o recurso foi reconhecido como uma vulnerabilidade e recebeu a designação CVE-2019-9193. No entanto, a comunidade PostgreSQL argumentou que o recurso por si só é perfeitamente seguro, desde que o status de superusuário seja concedido apenas a partes confiáveis, juntamente com o controle de acesso e sistemas de autenticação em execução adequada.

A Cadeia de Ataque do PGMiner

A atividade de infecção começa com a exploração da vulnerabilidade do PostgreSQL contestada e continua com a implantação de uma carga útil de mineração de moedas ameaçadora. Os criminosos responsáveis pelo PGMiner estabeleceram várias cargas úteis, e qual delas usar é decidida pela arquitetura específica do dispositivo comprometido.

A carga útil mais interessante que o PGMiner aproveita contra arquiteturas x86-64. É um arquivo de carga útil executável ELF que exibe uma sobreposição comportamental significativa com uma variante SystemdMiner detectada anteriormente, mas também contém modificações significativas. A ameaça de mineração de moedas está equipada com funcionalidades anti-VM, uma vez que verifica o VBoxGuestAdditions. Ele também pode remover ferramentas de monitoramento de segurança em nuvem, como Aegis. Para evitar a competição potencial pelos recursos limitados do sistema comprometido, a ameaça remove outros scripts de mineradores rivais, processos e registros crontab, bem como processos intensivos de CPU, incluindo ddg, atualizações de sistema, etc.

A comunicação com os servidores de Comando e Controle (C2, C&C) é estabelecida por meio de proxies SOCKS5.