Aqua Nautilus的研究人员发现了一种新的恶意软件,它针对PostgreSQL服务器部署加密货币矿工。这家网络安全公司已经确定了超过 800,000 台服务器可能容易受到针对开源关系型数据库管理系统 PostgreSQL 的挖矿劫持攻击的威胁,该系统用于存储、管理和检索各种应用程序的数据。根据与crypto.news分享的研究报告,所谓的“PG\_MEM”恶意软件首先尝试访问PostgreSQL数据库,使用蛮力攻击,成功渗透具有弱密码的数据库。一旦恶意软件渗透到系统中,它将建立一个具有管理员特权的超级用户角色,从而使其完全控制数据库并阻止其他用户访问。通过此控制,恶意软件在主机上执行shell命令,促进其他恶意负载的下载和部署。根据报告,载荷包含两个文件,旨在允许恶意软件规避检测,设置用于加密货币挖矿的基础设施,并部署用于挖掘门罗币(XMR)的XMRIG挖矿工具。由于门罗币的难以追踪的交易,XMRIG经常被威胁行为者使用。去年,在一个挖矿劫持活动中,攻击者入侵了一个教育平台,部署了一个隐藏的恶意代码,将XMRIG安装在每个访问者的计算机上。## 恶意软件劫持PostgreSQL服务器部署加密货币挖矿程序分析人员发现,恶意软件会删除现有的定期任务,这些定期任务会在服务器上按指定的间隔自动运行,并创建新的任务,以确保加密挖矿程序继续运行。这使得恶意软件即使在服务器重新启动或某些进程暂时停止的情况下也能继续其操作。为了保持不被察觉,恶意软件会删除特定的文件和日志,这些文件和日志本来可以被用来跟踪或识别其在服务器上的活动。研究人员警告说,尽管该活动的主要目标是部署加密货币挖掘器,但攻击者还获得了受影响服务器的控制权,突显了其严重性。多年来,针对PostgreSQL数据库的非法加密挖矿活动一直是一种经常出现的威胁。2020年,Palo Alto Networks的Unit 42研究人员揭露了一个类似的MINE劫持活动,涉及到PgMiner僵尸网络。2018年,StickyDB僵尸网络被发现,也渗透到服务器中挖掘Monero。
超过 800k 服务器面临风险,新的挖矿劫持恶意软件正在利用PostgreSQL。
Aqua Nautilus的研究人员发现了一种新的恶意软件,它针对PostgreSQL服务器部署加密货币矿工。
这家网络安全公司已经确定了超过 800,000 台服务器可能容易受到针对开源关系型数据库管理系统 PostgreSQL 的挖矿劫持攻击的威胁,该系统用于存储、管理和检索各种应用程序的数据。
根据与crypto.news分享的研究报告,所谓的“PG_MEM”恶意软件首先尝试访问PostgreSQL数据库,使用蛮力攻击,成功渗透具有弱密码的数据库。
一旦恶意软件渗透到系统中,它将建立一个具有管理员特权的超级用户角色,从而使其完全控制数据库并阻止其他用户访问。通过此控制,恶意软件在主机上执行shell命令,促进其他恶意负载的下载和部署。
根据报告,载荷包含两个文件,旨在允许恶意软件规避检测,设置用于加密货币挖矿的基础设施,并部署用于挖掘门罗币(XMR)的XMRIG挖矿工具。
由于门罗币的难以追踪的交易,XMRIG经常被威胁行为者使用。去年,在一个挖矿劫持活动中,攻击者入侵了一个教育平台,部署了一个隐藏的恶意代码,将XMRIG安装在每个访问者的计算机上。
恶意软件劫持PostgreSQL服务器部署加密货币挖矿程序
分析人员发现,恶意软件会删除现有的定期任务,这些定期任务会在服务器上按指定的间隔自动运行,并创建新的任务,以确保加密挖矿程序继续运行。
这使得恶意软件即使在服务器重新启动或某些进程暂时停止的情况下也能继续其操作。为了保持不被察觉,恶意软件会删除特定的文件和日志,这些文件和日志本来可以被用来跟踪或识别其在服务器上的活动。
研究人员警告说,尽管该活动的主要目标是部署加密货币挖掘器,但攻击者还获得了受影响服务器的控制权,突显了其严重性。
多年来,针对PostgreSQL数据库的非法加密挖矿活动一直是一种经常出现的威胁。2020年,Palo Alto Networks的Unit 42研究人员揭露了一个类似的MINE劫持活动,涉及到PgMiner僵尸网络。2018年,StickyDB僵尸网络被发现,也渗透到服务器中挖掘Monero。