Postmaster-обманщик: как хакеры маскируют криптомайнеры на взломанных серверах
Слабые пароли стоили 1500 компаниям безопасности PostgreSQL.
В ходе продолжающейся вредоносной кампании было взломано более 1500 серверов PostgreSQL, использовавшихся для скрытого майнинга криптовалюты. Исследователи компании Wiz сообщили , что злоумышленники действуют без записи файлов на диск — именно это делает атаку особенно трудной для обнаружения. Кампания связана с группировкой, обозначенной как JINX-0126, и основана на ранее выявленном вредоносном инструменте PG_MEM, впервые описанном Aqua Security в августе 2024 года.
В отличие от предыдущих атак, в этот раз используется усовершенствованная тактика, направленная на обход систем защиты. Так, вредоносные бинарные файлы генерируются с уникальным хэшем для каждой цели, а сама загрузка майнера происходит без создания файлов на диске. Подобный подход позволяет обходить защитные решения, которые полагаются на проверку цифровых отпечатков файлов.
Главной целью стали открытые экземпляры PostgreSQL со слабыми или предсказуемыми паролями. По оценкам Wiz, таких систем достаточно много, чтобы стать массовой целью для атакующих. Всего было скомпрометировано более 1500 серверов, что подтверждает масштаб происходящего.
Особенность данной кампании заключается в использовании SQL-команды «COPY ... FROM PROGRAM», которая позволяет запускать произвольные shell-команды непосредственно с сервера базы данных. Полученный таким образом доступ используется для разведки и внедрения вредоносного кода. Одним из первых шагов атаки становится загрузка зашифрованного скрипта на языке shell, который уничтожает конкурирующих майнеров и внедряет двоичный файл PG_CORE.
На сервер также загружается замаскированный бинарный файл на языке Go под названием postmaster. Он имитирует оригинальный сервер PostgreSQL, обеспечивая устойчивость присутствия злоумышленника через создание cron-заданий, учётных записей с повышенными правами и сохранение другого файла под названием cpu_hu.
Именно cpu_hu отвечает за загрузку последней версии XMRig — популярного инструмента для майнинга криптовалюты. При этом применяется метод fileless-запуска на Linux с использованием механизма memfd, что позволяет не сохранять исполняемый файл на диск, а держать его в памяти, снижая вероятность обнаружения.
Каждой заражённой машине присваивается уникальный идентификатор. Анализ кошельков, связанных с атакой, показал наличие примерно 550 активных майнеров на каждом из трёх адресов, что суммарно подтверждает участие не менее 1500 машин в этой кампании.
Ключевыми элементами атаки остаются эксплуатация слабой конфигурации PostgreSQL, активное применение техник обхода защиты и полное исключение следов работы в файловой системе. Такая комбинация делает кампанию особенно эффективной и устойчивой к обнаружению.