![\"\"](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgzIy0Gv-MPZQOQjKvnrRL0tQVD1qRB8BfzfdlfVCjC27P2QZK6jxiRFNE7yeJYTv5E8hNH8TMLVJuPRalMi3dJ55v4OiA9wwmT5ZiAxIpZ4zUoOi5_-ScWt0w9cxBJBjaL0grZv7gBEOAH_8XIrurDPHR6-bQBt_Ww2WZpiYRn6lHfxTsdHLQM3ojnET6Y\/s728-rw-e365\/mem.png\")
<\/p>\n\u00a0<\/p>\n
Pesquisadores de seguran\u00e7a cibern\u00e9tica desempacotaram uma nova cepa de malware apelidada de PG_MEM que \u00e9 projetada para minerar criptomoedas depois de for\u00e7ar o caminho para as inst\u00e2ncias de banco de dados do PostgreSQL.<\/p>\n
\u00a0<\/p>\n
\u201cOs ataques da for\u00e7a bruta ao Postgres envolvem repetidamente tentar adivinhar as credenciais do banco de dados at\u00e9 que o acesso seja obtido, explorando senhas fracas\u201d, relatou o pesquisador de seguran\u00e7a da Aquasaid, Assaf Morag, em um relat\u00f3rio t\u00e9cnico.<\/p>\n
\u00a0<\/p>\n
\u201cUma vez acessados, os atacantes podem alavancar a COPY. Comando SQL do PROGRAMA para executar comandos de shell arbitr\u00e1rios no host, permitindo que eles executem atividades maliciosas, como roubo de dados ou implanta\u00e7\u00e3o de malware.<\/p>\n
\u00a0<\/p>\n
A cadeia de ataque observada pela empresa de seguran\u00e7a na nuvem envolve a segmenta\u00e7\u00e3o de bancos de dados PostgreSQL mal configurados para criar uma fun\u00e7\u00e3o de administrador no Postgres e explorar um recurso chamado PROGRAMA para executar comandos de shell.<\/p>\n
\u00a0<\/p>\n
Al\u00e9m disso, um ataque de for\u00e7a bruta bem-sucedido \u00e9 seguido pelo agente da amea\u00e7a que conduz o reconhecimento inicial e executa comandos para retirar o usu\u00e1rio “postgres” das permiss\u00f5es de superusu\u00e1rio, restringindo assim os privil\u00e9gios de outros agentes de amea\u00e7as que possam obter acesso atrav\u00e9s do mesmo m\u00e9todo.<\/p>\n
\u00a0<\/p>\n
<\/p>\n
\u00a0<\/p>\n
Os comandos shell s\u00e3o respons\u00e1veis por soltar duas cargas \u00fateis de um servidor remoto (“128.199.77 [.]96”), ou seja, PG_MEM e PG_CORE, que s\u00e3o capazes de encerrar processos concorrentes (por exemplo, Kinsing), configurar a persist\u00eancia no host e, finalmente, implantar o minerador de criptomoedas Monero.<\/p>\n
\u00a0<\/p>\n
Isso \u00e9 feito fazendo uso de um comando PostgreSQL chamado COPY, que permite copiar dados entre um arquivo e uma tabela de banco de dados. Ele particularmente arma um par\u00e2metro conhecido como PROGRAMA que permite ao servidor executar o comando passado e escrever os resultados de execu\u00e7\u00e3o do programa para a tabela.<\/p>\n
\u00a0<\/p>\n
\u201cEmbora [a minera\u00e7\u00e3o de criptomoedas] seja o principal impacto, neste momento o invasor tamb\u00e9m pode executar comandos, visualizar dados e controlar o servidor\u201d, informou Morag.<\/p>\n
\u00a0<\/p>\n
\u201cEsta campanha est\u00e1 explorando a Internet enfrentando bancos de dados do Postgres com senhas fracas. Muitas organiza\u00e7\u00f5es conectam seus bancos de dados \u00e0 Internet, a senha fraca \u00e9 resultado de uma configura\u00e7\u00e3o incorreta e falta de controles de identidade adequados.<\/p>\n
\u00a0<\/p>\n
A divulga\u00e7\u00e3o ocorre quando o Datadog Security Labs detalhou uma campanha de ataque oportunista que aproveita a falha do Log4Shell (CVE-2021-44228, pontua\u00e7\u00e3o CVSS: 10.0) no Apache Log4j para deixar cair um script bash ofuscado que \u00e9 capaz de coletar informa\u00e7\u00f5es do sistema, bem como implantar um minerador XMRig e um shell reverso para acesso remoto.<\/p>\n
\u00a0<\/p>\n