Исследователи из Aqua Nautilus обнаружили новую вредоносную программу, нацеленную на серверы PostgreSQL для развертывания майнеров криптовалют.
Обнаружение вредоносной программы
Согласно отчету, специалисты по кибербезопасности идентифицировали более 800,000 серверов PostgreSQL, которые могут оказаться уязвимыми кориентированным на них криптоджекинговым кампаниям. Открытая реляционная СУБД используется для хранения, управления и получения данных для различных приложений.
Как действует PG_MEM
Исследование сообщает, что "PG_MEM" вредоносная программа начинает с попытки получить доступ к базам данных PostgreSQL через атаку грубой силы, особенно нацеливаясь на базы данных с слабыми паролями. После внедрения программа создаёт суперпользователя с административными привилегиями, что позволяет ей полностью контролировать базу данных и блокировать доступ другим пользователям. Вредоносная программа затем выполняет команды на хост-системе, загружая и развертывая дополнительные вредоносные компоненты. Эти компоненты содержат два файла, позволяющие вредоносной программе уклоняться от обнаружения, настраивать систему для майнинга криптовалют и развертывать инструмент XMRIG для майнинга Monero.
История криптоджекинга PostgreSQL
Криптоджекинговые кампании, нацеленные на базы данных PostgreSQL, представляют собой постоянную угрозу. В 2020 году исследователи из Unit 42, подразделения Palo Alto Networks, выявили аналогичную криптоджекинговую кампанию с участием ботнета PgMiner. В 2018 году был обнаружен ботнет StickyDB, который также взламывал серверы с целью добычи Monero.
Исследователи предупреждают, что помимо основной цели развертывания майнера криптовалют, злоумышленники также получают контроль над затронутым сервером, что подчеркивает серьезность данной угрозы.
Комментарии