أكثر من 800 ألف خادم في خطر بسبب برمجيات التعدين الخفية الجديدة التي تستغل PostgreSQL

crypto.news · 2024-08-21T04:14:52+00:00

اكتشف باحثو Aqua Nautilus برمجية خبيثة جديدة، PG_MEM، التي تستهدف خوادم PostgreSQL لنشر معدني العملة المشفرة. تخترق البرمجية الخبيثة قواعد البيانات ذات كلمات مرور ضعيفة وتنشئ دور مستخدم فائق، مما يمنحها امتيازات إدارية، مما يتيح لها السيطرة الكاملة على قاعدة البيانات. تنفذ البرمجية الخبيثة أوامر الشل على المضيف لتنزيل ونشر حمولات ضارة إضافية. الهدف هو نشر منقب للعملة المشفرة والسيطرة على الخادم المتأثر. تم تحديد أكثر من 800،000 خادم كأهداف محتملة. وهذا يمثل تهديدا متكررا تم اكتشاف حملات مماثلة في عام 2018 و 2020.

crypto.news

2024-08-21 04:14:52

إنشاء الملخص قيد التقدم

كشف باحثو Aqua Nautilus عن البرمجيات الخبيثة الجديدة التي تستهدف خوادم PostgreSQL لنشر منقبي العملات المشفرة.

تمكنت شركة الأمان السيبراني من التعرف على أكثر من 800،000 خادم معرض للخطر بشكل محتمل لحملة التعدين الخفي التي تستهدف PostgreSQL ، وهو نظام إدارة قواعد البيانات العلاقية مفتوح المصدر يُستخدم لتخزين وإدارة واسترجاع البيانات لتطبيقات مختلفة.

وفقًا لتقرير البحث الذي تم مشاركته مع crypto.news، تبدأ البرمجيات الخبيثة المسماة “PG_MEM” بمحاولة الوصول إلى قواعد بيانات PostgreSQL بواسطة هجوم القوة الغاشمة وتنجح في التسلل إلى قواعد البيانات ذات كلمات مرور ضعيفة.

بمجرد اختراق البرمجيات الخبيثة للنظام، تنشئ دور المستخدم الفائق بامتيازات إدارية، مما يتيح لها السيطرة الكاملة على قاعدة البيانات وحجب الوصول للمستخدمين الآخرين. وباستخدام هذا السيطرة، تقوم البرمجيات الخبيثة بتنفيذ أوامر الشل على النظام المستضيف، مما يسهل عملية تنزيل ونشر حمولات ضارة إضافية.

وفقًا للتقرير، تحتوي الحمولات على ملفين مصممين للسماح للالبرمجيات الخبيثة بتفادي الكشف، إعداد لتعدين العملات المشفرة، ونشر أداة تعدين XMRIG المستخدمة لتعدين العملة Monero (XMR)

يُستخدم XMRIG في كثير من الأحيان من قِبل الجهات الفاعلة المهددة بسبب صعوبة تتبع معاملات Monero. في العام الماضي، تم اختراق منصة تعليمية في حملة التعدين الخفي حيث نفذ الهجاجون hidden نصب XMRIG على كل زائر.

البرمجيات الخبيثة تختطف خوادم PostgreSQL لنشر منقِّدي العملات الرقمية

وجد الخبراء أن البرمجيات الخبيثة تقوم بإزالة مهام الاتصال الدورية الحالية ، وهي المهام المجدولة التي تعمل تلقائيًا في فترات محددة على الخادم وتنشئ مهام جديدة لضمان استمرار تشغيل منقب العملة المشفرة.

يتيح هذا للبرمجيات الخبيثة مواصلة عملياتها حتى إذا تم إعادة تشغيل الخادم أو توقف بعض العمليات مؤقتًا. لكي تبقى غير مكتشفة، تقوم البرمجيات الخبيثة بحذف ملفات وسجلات محددة يمكن استخدامها لتتبع أو تعريف أنشطتها على الخادم.

حذر الباحثون من أن الهدف الأساسي للحملة هو نشر منقب العملات المشفرة ، كما يحصل المهاجمون على السيطرة على الخادم المتأثر ، مما يبرز خطورتها.

تستهدف حملات التعدين الخفي قواعد بيانات PostgreSQL تهديدًا متكررًا على مر السنين. في عام 2020 ، كشف باحثو شبكات بالو ألتو للوحدة 42 حملة مشابهة تشمل بوتنت PgMiner. في عام 2018 ، تم اكتشاف بوتنت StickyDB الذي تسلل أيضًا إلى الخوادم لتعدين Monero.

OVER‎-0.13%

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.