新しい暗号資産ジャッキングマルウェアがPostgreSQLを悪用し、800k以上のサーバーが危険にさらされています

Aqua Nautilusの研究者らは、PostgreSQLサーバーを標的とした新しいマルウェアを発見し、仮想通貨マイナーを展開することが判明しました。

セキュリティ企業は、潜在的に脆弱な800,000台以上のサーバーを特定しました。これらのサーバーは、さまざまなアプリケーションのデータを格納、管理、および取得するために使用されるオープンソースのリレーショナルデータベース管理システムであるPostgreSQLを標的とした暗号資産ジャッキングキャンペーンの攻撃対象となっています。01928374656574839201

crypto.newsと共有された調査レポートによると、いわゆる「PG_MEM」マルウェアは、ブルートフォース攻撃でPostgreSQLデータベースへのアクセスを試みることから始まり、脆弱なパスワードでデータベースに侵入することに成功します。

マルウェアが侵入すると、管理者権限を持つスーパーユーザー権限を確立し、データベースを完全に制御し、他のユーザーのアクセスをブロックします。この制御により、マルウェアはホスト上でシェルコマンドを実行し、追加の悪意のあるペイロードをダウンロードして展開します。01928374656574839201

報告によると、ペイロードには、検出を回避し、暗号通貨のマイニング用に設定されたファイルが2つ含まれており、Monero（XMR）をマイニングするために使用されるXMRIGマイニングツールが展開されています。

Moneroの追跡困難な取引のため、XMRIGは脅威行為者によってよく使用されます。昨年、教育プラットフォームが暗号資産ジャッキングキャンペーンで侵害され、攻撃者はアクセス者のそれぞれのデバイスにXMRIGをインストールする隠しによってそれを行いました。

マルウェアはPostgreSQLサーバーを乗っ取り、暗号鉱夫を展開します

アナリストは、マルウェアが既存のcronジョブを削除し、サーバー上で指定された間隔で自動的に実行されるスケジュールされたタスクを作成して、暗号鉱山労働者が継続して実行されるようにすることを発見しました。

これにより、マルウェアはサーバーが再起動された場合や一時的に停止された場合でも、その操作を継続することができます。気付かれないように、マルウェアはサーバー上での活動を追跡または識別するために使用される可能性のある特定のファイルとログを削除します。

研究者たちは、キャンペーンの主な目標は暗号通貨のマイナーを展開することである一方、攻撃者は影響を受けたサーバーの制御も得て、その深刻さが強調されていることを警告した。

PostgreSQLデータベースを対象とした暗号資産ジャッキングキャンペーンは、これまでに何度も脅威となってきました。2020年、Palo Alto NetworksのUnit 42の研究者は、PgMinerボットネットを介した類似の暗号資産ジャッキングキャンペーンを発見しました。2018年には、StickyDBボットネットも発見され、サーバーに侵入してMoneroをマイニングしました。