Недавно выявленная кампания вредоносного ПО, проводимая группой JINX-0126, компрометировала более 1,500 серверов PostgreSQL, применяя инновационные безфайловые методы для развертывания криптомайнинг-пейлоудов. Эта атака, раскрытая исследовательской группой Wiz Threat Research, является примером того, как злоумышленники эксплуатируют публично доступные инстансы слабо настроенными или стандартными учетными данными.
Продвинутые методы обхода и безопасности
Одной из главных особенностей этой кампании является использование продвинутых методов обхода, которые включают в себя развертывание бинарных файлов с уникальными хэшами и безфайловое выполнение пейлоудов. Такие техники значительно усложняют детектирование и делают вредоносное ПО труднодоступным для традиционных систем защиты.
Анализ attaques показал, что проблема не ограничивается отдельными инстансами. Наоборот, она указывает на распространенные уязвимости в облачных PostgreSQL-инстансах. Почти 90% таких инстансов хостят базы данных PostgreSQL, при этом одна треть из них является публично доступной. Является критически важным, убедиться, что подобные инстансы сконфигурированы надлежащим образом для обеспечения безопасности.
Защита PostgreSQL в облаке
Поскольку PostgreSQL широко используется в облачной среде, компании должны предпринять дополнительные меры для защиты своих данных. Отметим, что злоумышленники, такие как JINX-0126, имеют мастерство в использовании уязвимостей и обходе защитных барьеров. Поэтому важно применять надежные пароли, использовать многослойную аутентификацию и регулярно обновлять ПО для минимизации рисков взлома.
Компаниям, управляющим PostgreSQL, рекомендуется провести аудит своих серверов, чтобы гарантировать оптимальную настройку безопасность и снизить вероятность атак. Защита от криптомайнинга и других типов вредоносного ПО должна стать приоритетом в стратегиях кибербезопасности.