Для опытного исследователя с многолетним опытом работы в области кибербезопасности последнее обнаружение вредоносного ПО PG_MEM, нацеленного на серверы PostgreSQL, вызывает беспокойство и интригует. Постоянно повторяющаяся тема кампаний криптоджекинга против таких баз данных является ярким свидетельством устойчивости и адаптивности этих угроз.
Следователи из Aqua Nautilus недавно обнаружили новый тип вредоносного ПО, которое специально атакует серверы PostgreSQL с целью установки программ для майнинга криптовалюты.
Охранная компания обнаружила около 800 000 серверов, которые могут быть подвержены атаке с целью майнинга криптовалюты, ориентированной на PostgreSQL, широко используемую систему баз данных с открытым исходным кодом, которая обеспечивает хранение, управление и извлечение данных для многочисленных приложений.
Согласно исследовательскому отчету, недавно опубликованному на сайте crypto.news, предполагаемое вредоносное ПО «PG_MEM» инициирует свою работу с грубой атаки на базы данных PostgreSQL. Он успешно проникает в базы данных, защищенные слабыми паролями.
Как только вредоносная программа проникает в систему, она создает учетную запись пользователя высокого уровня с правами администратора, предоставляя ей полный контроль над базой данных и предотвращая доступ к ней других пользователей. Благодаря этому контролю вредоносное ПО запускает команды оболочки на хост-компьютере, что позволяет передавать и устанавливать дополнительные вредоносные пакеты данных.
Согласно выводам отчета, пакеты данных содержат пару файлов, которые помогают вредоносному программному обеспечению избежать идентификации, настроить систему для извлечения криптовалюты и активировать инструмент XMRIG, который используется для майнинга Monero (XMR).
1. XMRIG часто используется злоумышленниками из-за сложности отслеживания транзакций Monero. В результате криптоджекинговой атаки в прошлом году образовательная платформа была взломана, и злоумышленники тайно внедрили скрипт, который устанавливал XMRIG на устройство каждого посетителя.
Вредоносное ПО захватывает серверы PostgreSQL для установки криптомайнеров
Исследователи обнаружили, что это вредоносное программное обеспечение удаляет текущие запланированные задачи (задания cron), которые должны запускаться автоматически через определенные промежутки времени на сервере, а затем устанавливает новые, чтобы обеспечить непрерывную работу майнера криптовалюты.
Как опытный криптоинвестор, я понимаю, как этот механизм позволяет вредоносному ПО продолжать свою работу, независимо от того, перезагружается ли сервер или на мгновение приостанавливаются определенные процессы. Чтобы избежать обнаружения, он систематически стирает важные файлы и записи, которые потенциально могут обнаружить его следы на сервере, тем самым оставаясь вне поля зрения.
Исследователи предупредили, что, хотя основной целью кампании является установка майнера криптовалюты, важно отметить, что злоумышленники дополнительно захватывают контроль над скомпрометированным сервером, подчеркивая серьезность этой ситуации.
На протяжении многих лет происходили частые случаи кибератак, известных как криптоджекинг, нацеленных конкретно на базы данных PostgreSQL. Например, исследователи из Unit 42 Palo Alto Networks обнаружили аналогичную кампанию криптоджекинга в 2020 году с использованием ботнета PgMiner. Аналогичным образом, еще в 2018 году был обнаружен ботнет StickyDB, который также проник на серверы для майнинга Monero.
Смотрите также
- Будущее Drift Protocol: прогнозы цены на криптовалюту DRIFT
- Будущее PAAL AI: прогнозы цены на криптовалюту PAAL
- Будущее Cetus Protocol: прогнозы цены на криптовалюту CETUS
- Лидеры роста и падения
- Будущее PUPS•WORLD•PEACE: прогнозы цены на криптовалюту PUPS
- Будущее Wexo: прогнозы цены на криптовалюту WEXO
- Будущее SPX6900: прогнозы цены на криптовалюту SPX
- Будущее ResearchCoin: прогнозы цены на криптовалюту RSC
- MSTR/USD
- Будущее Jito: прогнозы цены на криптовалюту JTO
2024-08-21 15:24