Over 800k servers at risk over new cryptojacking phần mềm độc hại exploiting PostgreSQL

crypto.news

2024-08-21 04:14:52

Đang tạo bản tóm tắt

Các nhà nghiên cứu tại Aqua Nautilus đã phát hiện ra một phần mềm độc hại mới nhắm vào các máy chủ PostgreSQL để triển khai các trình khai thác tiền điện tử.

Công ty an ninh mạng đã xác định được hơn 800.000 máy chủ có thể bị tấn công cryptojacking nhắm vào PostgreSQL, một hệ quản trị cơ sở dữ liệu quan hệ mã nguồn mở được sử dụng để lưu trữ, quản lý và truy xuất dữ liệu cho các ứng dụng khác nhau.

Theo một báo cáo nghiên cứu được chia sẻ với crypto.news, phần mềm độc hại có tên gọi là “PG_MEM” bắt đầu bằng việc cố gắng truy cập vào cơ sở dữ liệu PostgreSQL bằng tấn công Brute Force và quản lý xâm nhập cơ sở dữ liệu với mật khẩu yếu.

Once the phần mềm độc hại infiltrates the , it establishes a superuser role with administrative privileges, enabling it to take full control of the database and block access for other users. With this control, the phần mềm độc hại utes shell commands on the host , facilitating the download and deployment of additional malicious payloads.

Theo báo cáo, các payloads chứa hai tập tin được thiết kế để cho phần mềm độc hại tránh phát hiện, thiết lập cho việc đào tiền điện tử, và triển khai công cụ đào MINE được sử dụng để đào Monero (XMR)

XMRIG thường được sử dụng bởi các nhà đe dọa do giao dịch Monero khó để theo dõi. Năm ngoái, một nền tảng giáo dục đã bị xâm nhập trong một chiến dịch cryptojacking, nơi kẻ tấn công triển khai một mã độc ẩn đã cài đặt XMRIG trên mọi thiết bị truy cập.

Phần mềm độc hại chiếm quyền điều khiển máy chủ PostgreSQL để triển khai máy đào tiền điện tử

Các nhà phân tích phát hiện ra rằng phần mềm độc hại loại bỏ các công việc cron hiện có, đó là các nhiệm vụ được lên lịch chạy tự động vào khoảng thời gian cụ thể trên máy chủ và tạo ra những công việc mới để đảm bảo rằng trình đào tiền điện tử tiếp tục chạy.

This allows the phần mềm độc hại to continue its operations even if the server is restarted or if some processes are temporarily stopped. To remain unnoticed, the phần mềm độc hại deletes specific files and logs that could be used to track or identify its activities on the server.

Các nhà nghiên cứu cảnh báo rằng trong khi mục tiêu chính của chiến dịch là triển khai trình khai thác tiền điện tử, kẻ tấn công cũng giành quyền kiểm soát máy chủ bị ảnh hưởng, nhấn mạnh tính nghiêm trọng của vấn đề.

Các chiến dịch cryptojacking nhắm vào cơ sở dữ liệu PostgreSQL đã trở thành mối đe dọa tái diễn qua nhiều năm. Vào năm 2020, các nhà nghiên cứu của Unit 42 của Palo Alto Networks đã phát hiện một chiến dịch cryptojacking tương tự liên quan đến botnet PgMiner. Năm 2018, botnet StickyDB đã được phát hiện, cũng xâm nhập vào máy chủ để đào Monero.

OVER0,57%

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.