Более 800 тыс. серверов под угрозой из-за новых криптовзлом вредоносные программы, использующих PostgreSQL

Исследователи Aqua Nautilus обнаружили новую вредоносную программу, которая нацелена на серверы PostgreSQL для развертывания майнеров криптовалюты.

Компания по кибербезопасности обнаружила более 800 000 серверов, которые потенциально уязвимы для кампании криптовзлома, нацеленной на PostgreSQL, открытую систему управления реляционными базами данных, используемую для хранения, управления и извлечения данных для различных приложений.

Согласно исследовательскому отчету, который был поделен с crypto.news, так называемая вредоносная программа “PG_MEM” начинает свою работу путем попытки получения доступа к базам данных PostgreSQL с помощью атаки грубой силой и удается проникнуть в базы данных с слабыми паролями.

Как только вредоносная программа проникает в , она устанавливает роль суперпользователя с правами администратора, что позволяет ей получить полный контроль над базой данных и заблокировать доступ для других пользователей. С помощью этого элемента управления вредоносное ПО выполняет команды оболочки на хосте, облегчая загрузку и развертывание дополнительных вредоносных полезных нагрузок.

По данным отчета, нагрузка содержит два файла, предназначенные для обхода обнаружения вредоносных программ, настройки для майнинга криптовалюты и развертывания инструмента для майнинга XMRIG, используемого для майнинга Monero (XMR).

XMRIG часто используется злоумышленниками из-за сложности отслеживания транзакций Monero. В прошлом году платформа для образования была скомпрометирована во время кампании криптовзлома, где нападающие установили скрытый 01928374656574839201, устанавливающий XMRIG на компьютер каждого посетителя.

Вредоносные программы захватывают серверы PostgreSQL для установки крипто-майнеров

Аналитики обнаружили, что вредоносные программы удаляют существующие cron-задания, которые запускаются автоматически в заданные интервалы на сервере, и создают новые, чтобы гарантировать непрерывную работу криптодобывателя.

Это позволяет вредоносным программам продолжать свою работу даже если сервер перезагружается или некоторые процессы временно останавливаются. Чтобы оставаться незамеченным, вредоносные программы удаляют конкретные файлы и журналы, которые могли бы быть использованы для отслеживания или идентификации своей деятельности на сервере.

Исследователи предупредили, что хотя основная цель кампании - развертывание криптовалютного майнера, злоумышленники также получают контроль над зараженным сервером, что подчеркивает его серьезность.

Кампании криптовзлома, нацеленные на базы данных PostgreSQL, являются повторяющейся угрозой на протяжении многих лет. В 2020 году исследователи Palo Alto Networks’ Unit 42 обнаружили аналогичную кампанию криптовзлома, в которую был вовлечен ботнет PgMiner. В 2018 году был обнаружен ботнет StickyDB, который также вторгся в серверы для добычи Monero.