Lebih dari 800 ribu server berisiko terkena malware baru yang memanfaatkan PostgreSQL untuk cryptojacking

crypto.news · 2024-08-21T04:14:52+00:00

Para peneliti di Aqua Nautilus telah menemukan malware baru, PG_MEM, yang menargetkan server PostgreSQL untuk mendeploy penambang cryptocurrency. Malware ini menyusup ke basis data dengan sandi lemah dan membentuk peran superuser, memberikan hak istimewa administratif, yang memungkinkannya untuk mengambil alih sepenuhnya basis data. Malware ini mendeploy perintah shell di host untuk mengunduh dan mendeploy muatan berbahaya tambahan. Tujuannya adalah untuk mendeploy penambang cryptocurrency dan mengambil alih server yang terkena. Lebih dari 800.000 server telah diidentifikasi sebagai target potensial. Ini merupakan ancaman yang berulang dengan kampanye serupa yang terdeteksi pada tahun 2018 dan 2020.

crypto.news

2024-08-21 04:14:52

Pembuatan abstrak sedang berlangsung

Para peneliti di Aqua Nautilus telah mengungkap malware baru yang menargetkan server PostgreSQL untuk menyebarkan penambang cryptocurrency.

Perusahaan keamanan cyber telah mengidentifikasi lebih dari 800.000 server yang berpotensi rentan terhadap kampanye cryptojacking yang menargetkan PostgreSQL, sebuah manajemen database relasional open-source yang digunakan untuk menyimpan, mengelola, dan mengambil data untuk berbagai aplikasi.

Menurut laporan riset yang dibagikan dengan crypto.news, malware yang disebut “PG_MEM” mulai dengan mencoba mendapatkan akses ke basis data PostgreSQL dengan serangan brute force dan berhasil menyusup ke basis data dengan sandi yang lemah.

Setelah malware meresap ke sistem, ia membangun peran superuser dengan hak administratif, memungkinkannya mengambil kontrol penuh atas database dan memblokir akses untuk pengguna lain. Dengan kontrol ini, malware menjalankan perintah shell pada host, memfasilitasi pengunduhan dan implementasi payload berbahaya tambahan.

Menurut laporan, muatan mengandung dua file yang dirancang untuk memungkinkan malware menghindari deteksi, mengatur untuk pertambangan mata uang kripto, dan menggunakan alat pertambangan XMRIG yang digunakan untuk menambang Monero (XMR).

XMRIG sering digunakan oleh pelaku ancaman karena transaksi Monero yang sulit dilacak. Tahun lalu, sebuah platform pendidikan diretas dalam kampanye cryptojacking di mana penyerang menyebarkan skrip tersembunyi yang menginstal XMRIG pada setiap pengunjung.

Malware mengambil alih server PostgreSQL untuk menyebarkan penambang kripto

Para analis menemukan bahwa malware ini menghapus pekerjaan cron yang ada, yang merupakan tugas terjadwal yang berjalan secara otomatis pada interval tertentu di server, dan menciptakan yang baru untuk memastikan bahwa penambang kripto terus berjalan.

Ini memungkinkan malware untuk melanjutkan operasinya bahkan jika server di-restart atau jika beberapa proses sementara dihentikan. Untuk tetap tidak terdeteksi, malware menghapus file dan log tertentu yang dapat digunakan untuk melacak atau mengidentifikasi aktivitasnya di server.

Para peneliti memperingatkan bahwa sementara tujuan utama kampanye ini adalah untuk mengimplementasikan penambang cryptocurrency, serangan juga memperoleh kendali atas server yang terkena dampak, menekankan tingkat keparahannya.

Kampanye cryptojacking yang menargetkan basis data PostgreSQL telah menjadi ancaman yang berulang selama bertahun-tahun. Pada tahun 2020, para peneliti Unit 42 dari Palo Alto Networks menemukan kampanye cryptojacking serupa yang melibatkan botnet PgMiner. Pada tahun 2018, botnet StickyDB ditemukan, yang juga menyusup ke server untuk menambang Monero.

OVER0,13%

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.