كشفت شركة أمن السحابة Wiz عن حملة اختراق مستمرة تستهدف خوادم PostgreSQL المكشوفة بهدف الوصول غير المصرح به وتنفيذ عمليات تعدين عملات رقمية بدون ملفات (fileless cryptojacking).
تعود هذه الحملة إلى مجموعة تهديد تُعرف باسم JINX-0126، وقد تم رصد أول نسخة منها بواسطة شركة Aqua Security في أغسطس 2024، حيث استخدمت برمجية خبيثة تُدعى PG_MEM.
تقنيات متقدمة لتفادي أنظمة الحماية
قال الباحثون أفيجايل ميشتينغر ويارا شريكي وجيلي تيكوشينسكي من Wiz:
“طور المهاجمون أساليبهم لاحقًا، حيث بدؤوا باستخدام ملفات تنفيذية مختلفة لكل هدف – لها بصمات تجزئة (Hash) فريدة – وتنفيذ حمولة التعدين دون استخدام ملفات فعلية (filelessly)، على الأرجح لتفادي أنظمة الحماية المعتمدة فقط على بصمات الملفات.”
أكثر من 1500 خادم مستهدف
تشير تقديرات Wiz إلى أن الحملة قد نجحت في اختراق أكثر من 1500 خادم PostgreSQL حتى الآن، مما يدل على أن العديد من هذه الخوادم تُركت مكشوفة للعامة وتستخدم بيانات اعتماد ضعيفة أو سهلة التخمين، مما يجعلها أهدافًا جذابة للهجمات الانتهازية.
أبرز أساليب الهجوم: استغلال أمر COPY … FROM PROGRAM
تستغل الحملة أمر SQL يُعرف بـ COPY ... FROM PROGRAM لتنفيذ أوامر Shell تعسفية على الخادم المستهدف، ما يسمح للمهاجم بالتحكم الكامل في النظام.
حمولة مشفرة وأدوات لتثبيت السيطرة
بمجرد استغلال الخادم، يتم تنفيذ استكشاف مبدئي ثم إسقاط حمولة مشفرة بـBase64، وهي في الحقيقة سكريبت Shell مصمم لإيقاف أي برامج تعدين منافسة، وتنزيل ملف تنفيذي يدعى PG_CORE.
يتم أيضًا تحميل ملف تنفيذي غامض مكتوب بلغة Go ويُعرف بالاسم الرمزي postmaster، ويقلد خادم PostgreSQL الشرعي.
يهدف هذا الملف إلى:
-
إنشاء cron job (مهمة مجدولة) لضمان الاستمرارية
-
إنشاء دور جديد بصلاحيات مرتفعة
-
كتابة ملف تنفيذي إضافي على الخادم يُدعى cpu_hu
تحميل مشفر لبرنامج XMRig
يقوم cpu_hu بدوره بتنزيل آخر نسخة من برنامج تعدين العملات الرقمية الشهير XMRig من GitHub، ثم تشغيله بدون ملفات باستخدام تقنية memfd المعروفة في أنظمة Linux، ما يجعل اكتشافه أكثر صعوبة.
كل ضحية تحصل على عامل تعدين فريد
ذكرت Wiz أن المهاجم يقوم بتخصيص عامل تعدين (worker) فريد لكل ضحية، وتم تحديد ثلاث محافظ رقمية مرتبطة بالحملة. تحتوي كل محفظة على حوالي 550 عامل تعدين، ما يدعم فرضية استخدام أكثر من 1500 جهاز مخترق في الحملة.
