Chiến dịch Malware Tấn Công Máy Chủ PostgreSQL: Chi Tiết và Biện Pháp Đối Phó

03/04/2025
2 mins read


Bài viết cung cấp thông tin chi tiết về một chiến dịch malware tinh vi đã xâm phạm hơn 1,500 máy chủ PostgreSQL. Dưới đây là các điểm chính:

Thông tin chính về cuộc tấn công

  1. Vector tấn công:
    • Cuộc tấn công khai thác các instance PostgreSQL công khai được cấu hình với thông tin đăng nhập yếu hoặc mặc định.
    • Nhóm tác tấn công có tên JINX-0126 được cho là đứng sau chiến dịch này.
  2. Kỹ thuật malware không file:
    • Các attacker sử dụng kỹ thuật không file để triển khai payload khai thác tiền điện tử, né tránh các giải pháp bảo mật truyền thống dựa vào độ tin cậy của hash tệp để phát hiện.
    • Các hash độc nhất cho mỗi mục tiêu và việc thực thi payload khai thác không file được sử dụng để tránh bị phát hiện.
  3. Phương pháp triển khai:
    • Các attacker lợi dụng hàm `COPY … FROM PROGRAM` của PostgreSQL để thả và thực thi payload độc hại.
    • Các lệnh khám phá hệ thống như `whoami` và `uname` được thực hiện, tiếp theo là việc triển khai một script dropper loại bỏ các khai thác tiền điện tử cạnh tranh và cài đặt malware của riêng họ.
  4. Binary malware:
    • Một binary có tên “postmaster” mô phỏng các quy trình PostgreSQL hợp pháp để tránh nghi ngờ. Nó được đóng gói với các kỹ thuật che giấu và cấu hình mã hóa, đảm bảo tính bền vững trên các hệ thống bị nhiễm.
    • Một binary thứ hai có tên “cpu_hu” được triển khai để thực hiện các hoạt động khai thác tiền điện tử mà không cần file thông qua việc thực thi dựa trên bộ nhớ.
  5. Tác động rộng rãi:
    • Chiến dịch này làm nổi bật sự dễ tổn thương rộng rãi của các instance PostgreSQL lưu trữ trên đám mây, với gần 90% các môi trường đám mây đang lưu trữ cơ sở dữ liệu PostgreSQL, và khoảng một phần ba trong số đó được công khai.
    • Mỗi ví liên quan đến chiến dịch trên C3Pool có khoảng 550 công nhân khai thác hoạt động, xác nhận quy mô của cuộc tấn công trên hơn 1,500 máy chủ toàn cầu.
  6. Biện pháp đối phó:
    • Các tổ chức cần đảm bảo các cấu hình bảo mật mạnh mẽ cho các instance PostgreSQL của họ, bao gồm việc vô hiệu hóa khả năng công khai và thực thi các cơ chế xác thực mạnh.
    • Các công cụ như Wiz Dynamic Scanner có thể xác định các instance bị phơi bày và phát hiện thông tin đăng nhập yếu trong các môi trường đám mây.
    • Các cảm biến thời gian thực có thể theo dõi các hoạt động nghi ngờ cho thấy các cuộc tấn công như vậy, từ việc khai thác ban đầu đến các hoạt động khai thác tiền điện tử không file.

Khuyến nghị thực tiễn

  1. Bảo mật các instance PostgreSQL:
    • Vô hiệu hóa khả năng công khai của các instance PostgreSQL.
    • Thực thi các cơ chế xác thực mạnh.
    • Cập nhật thường xuyên và vá các phiên bản PostgreSQL.
  2. Sử dụng công cụ quét bảo mật:
    • Sử dụng các công cụ như Wiz Dynamic Scanner để xác định các instance bị phơi bày và phát hiện thông tin đăng nhập yếu.
    • Triển khai các cảm biến thời gian thực để theo dõi các hoạt động nghi ngờ.
  3. Cải thiện giám sát điểm cuối:
    • Theo dõi các dấu hiệu lạm dụng liên quan đến các miền Cloudflare và trình xử lý giao thức.
    • Thận trọng đối với các thư mục mở phục vụ các payload độc hại.

Bằng cách làm theo các khuyến nghị này, các tổ chức có thể giảm thiểu đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công tinh vi như vậy.