Понад 800 тис. серверів під загрозою через нові шкідливі програми, які використовують криптоджекінг PostgreSQL

crypto.news · 2024-08-21T04:14:52+00:00

Дослідники в Aqua Nautilus виявили новий шкідливі програми, PG_MEM, який спрямовується на сервери PostgreSQL для розгортання криптовалютних майнерів. Шкідливі програми проникає в бази даних з слабкими паролями та встановлює роль суперкористувача, надаючи адміністративні привілеї, що дозволяє йому повністю контролювати базу даних. Шкідливі програми розгортають оболонки команд на хості для завантаження та розгортання додаткових шкідливих навантажень. Мета полягає в розгортанні криптовалютного майнера та отриманні контролю над пошкодженим сервером. Виявлено понад 800 000 серверів, які можуть стати потенційними цілями. Це представляє собою постійну загрозу, із схожими кампаніями, виявленими у 2018 та 2020 роках.

crypto.news

2024-08-21 04:14:52

Генерація анотацій у процесі

Дослідники з Aqua Nautilus виявили нову шкідливу програму, яка націлена на сервери PostgreSQL для розгортання криптовалютних майнерів.

Кібербезпекова фірма виявила понад 800 000 серверів, які потенційно є вразливими для кампанії криптоджекінгу, спрямованої на PostgreSQL, відкриту реляційну систему управління базами даних, яка використовується для зберігання, управління та отримання даних для різноманітних застосувань.

Згідно з досліджувальним звітом, який було поділено з crypto.news, так звані «PG_MEM» шкідливі програми спочатку намагаються отримати доступ до баз даних PostgreSQL з атакою грубої сили та вдаються до інфільтрації баз даних з слабкими паролями.

Після того, як шкідлива програма проникає в система, вона створює роль суперкористувача з адміністративними привілеями, що дозволяє їй повністю контролювати базу даних та блокувати доступ для інших користувачів. За допомогою цього контролю, шкідлива програма виконує команди оболонки на хості, сприяючи завантаженню та розгортанню додаткових зловмисних навантажень.

Згідно з звітом, навантаження містять два файли, призначені для уникнення виявлення шкідливих програм, налаштування для видобутку криптовалюти та розгортання інструменту для видобутку XMRIG, який використовується для видобутку Monero (XMR)

XMRIG часто використовується злочинцями через важкість відстеження транзакцій Monero. Минулого року освітня платформа була скомпрометована в кампанії криптоджекінгу, де нападники розвернули приховану програму, яка встановлювала XMRIG на кожному відвідувачів .

Шкідливі програми захоплюють сервери PostgreSQL для розгортання криптодобувачів

Аналітики виявили, що шкідлива програма видаляє існуючі cron-задачі, які запускаються автоматично зазначеними інтервалами на сервері, і створює нові, щоб забезпечити безперервну роботу криптовалютного майнера.

Це дозволяє шкідливим програмам продовжувати свою роботу навіть якщо сервер перезапустять або деякі процеси тимчасово зупиняться. Щоб залишитися непоміченими, шкідливі програми видаляють певні файли та журнали, які можуть бути використані для відстеження або ідентифікації їх діяльності на сервері.

Дослідники попереджають, що, хоча основною метою кампанії є розгортання криптовалютного майнера, зловмисники також отримують контроль над зараженим сервером, підкреслюючи його серйозність.

Кампанії з криптоджекінгу, спрямовані на бази даних PostgreSQL, є постійною загрозою на протязі років. У 2020 році дослідники Unit 42 компанії Palo Alto Networks виявили схожу кампанію криптоджекінгу, яка включала ботнет PgMiner. У 2018 році було виявлено ботнет StickyDB, який також проник до серверів для майнінгу Monero.

OVER-0,1%

Переглянути оригінал

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.