Botnet PGMiner

Las operaciones de criptojacking han sido la nueva tendencia entre los ciberdelincuentes. El objetivo final es casi siempre el mismo: la implementación de una carga útil de minería criptográfica en la máquina comprometida. Donde se han observado las innovaciones más rápidas es el vector de compromiso inicial que emplea cada botnet de minería criptográfica. Ahora, los investigadores de infosec creen haber descubierto la primera botnet de este tipo que utiliza una vulnerabilidad de ejecución remota de código (RCE) de PostgreSQL en disputa para comprometer los servidores de bases de datos. El nombre que se le da a la amenaza es PGMiner Botnet y utiliza los recursos de las víctimas infectadas para extraer monedas de Monero.

En términos de objetivos potenciales, PostgreSQL se encuentra entre los sistemas de administración de bases de datos relacionales de código abierto (RDBMS) más utilizados cuando se trata de establecer entornos de producción. Más específicamente, a partir de noviembre de 2020, se informó que PostgreSQL se convirtió en el cuarto DBMS más utilizado. Cabe señalar que la vulnerabilidad explotada por la botnet PGMiner lleva la etiqueta de 'disputada'. En esencia, representa una característica que permite a los superusuarios locales o remotos ejecutar scripts de shell arbitrarios directamente en los servidores. En 2019, la función fue reconocida como una vulnerabilidad y se le asignó la designación CVE-2019-9193. Sin embargo, la comunidad de PostgreSQL argumentó que la función en sí misma es perfectamente segura siempre que el estado de superusuario se otorgue solo a partes confiables junto con sistemas de autenticación y control de acceso que funcionen correctamente.

Cadena de ataque de PGMiner

La actividad de infección comienza con la explotación de la vulnerabilidad de PostgreSQL en disputa y continúa con el despliegue de una amenazante carga útil de minería de monedas. Los delincuentes responsables de PGMiner han establecido varias cargas útiles, y la arquitectura específica del dispositivo comprometido decide cuál usar.

La carga útil más interesante que utiliza PGMiner contra las arquitecturas x86-64. Es un archivo de carga útil ejecutable ELF que muestra una superposición de comportamiento significativa con una variante de SystemdMiner detectada previamente, pero también contiene modificaciones significativas. La amenaza de minería de monedas está equipada con funcionalidades anti-VM, ya que realiza una verificación de VBoxGuestAdditions. También puede eliminar las herramientas de monitoreo de seguridad en la nube como Aegis. Para evitar la competencia potencial por los recursos limitados del sistema comprometido, la amenaza elimina otros scripts, procesos y registros crontab de mineros rivales, así como procesos intensivos de CPU, incluidos ddg, actualizaciones del sistema, etc.

La comunicación con los servidores de Comando y Control (C2, C&C) se establece a través de proxies SOCKS5.