Wizは3月31日(米国時間)、「Fileless XMRig-C3 Cryptominer Targets PostgreSQL Servers | Wiz Blog」において、RDBMSのPostgreSQLを標的とするサイバー攻撃を発見したと報じた。攻撃者は設定に不備のあるPostgreSQLサーバを侵害し、クリプトマイナーを展開したとみられる。
攻撃者は設定に不備のあるPostgreSQLサーバを侵害し、クリプトマイナーを展開したとみられる。
侵害経路
Wizの調査によると、攻撃者はインターネットに接続された脆弱なPostgreSQLサーバーを積極的にスキャンして侵入を試みるという。PostgreSQLはデフォルトで弱い認証情報を使用しており、侵害される可能性があるとしている。
攻撃者は認証を突破すると、PostgreSQLの「COPY」コマンドを使用して環境を調査し、悪意のあるスクリプトを実行する。スクリプトは既存のクリプトマイナーをすべて強制終了させ、悪意のある実行可能ファイル「postmaster」をダウンロード、設定、実行する。
悪意のあるpostmasterはcronジョブを作成して永続性を確保すると、ssh_authorized_keysファイルを削除する。これは正規ユーザーのログインを妨害することで、検出および対応を遅らせる目的があるものと推測される。
次に高い権限を持つroleを作成することで、パスワードが変更された場合においても攻撃者のログインを可能にする。最後にクリプトマイナー「XMRig-C3」を展開、実行する。
影響と対策
Wizの分析により3つのウォレットが特定され、各ウォレットからそれぞれ約550のワーカー(クリプトマイナー)の存在が確認された。これらの合計から、被害サーバーは1,500台以上と推定されている。
インターネットからアクセス可能なPostgreSQLサーバを運用している管理者は、被害の有無を確認して対策を実施することが推奨されている。被害が確認された場合はマルウェアの永続性、攻撃者のバックドア(roleなど)を考慮して修復する必要がある。
また、今後の攻撃を回避するために、攻撃を検出できるセキュリティソリューションの導入も推奨されている。Wizはこの調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)およびMITRE ATT&CKを公開しており、必要に応じて活用することが望まれている。