Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Botnet Pgminer apunta a Postgresql

  • Publicado: 12/12/2020
  • Importancia: Media

Recursos afectados

Esta amenaza cibernética se dirige a infraestructura tecnológica con PostgreSQL expuestas en el puerto 5432. Seguidamente, hace una detección de posibles usuarios predeterminados y realiza el ataque de fuerza bruta; cuando accede a la base de datos, usa la función “copy from program” de PostgreSQL para ejecutar desde allí la descarga del payload de PgMiner.

Se tiene conocimiento que PgMiner es la primera botnet de minería que se entrega mediante PostgreSQL y apunta a plataformas Linux MIPS, ARM y x64. En esta oportunidad los ciberdelincuentes aprovecharon la vulnerabilidad de ejecución remota de código (RCE) de PostgreSQL para realizar este tipo de ataque cibernético.

Los ciberdelincuentes operan desde la red Tor para establecer comunicación con su servidor C2, el cual cambia constantemente de dirección IP y pese a que el malware en principio está dirigido hacia distribuciones Linux, puede expandirse hacia sistemas operativos como Windows y macOS, sobre los cuales PostgreSQL es ampliamente utilizado.

Este es un breve resumen por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas