Исследователи из Aqua Nautilus недавно раскрыли сложный штамм вредоносного ПО, который специально нацелен на серверы PostgreSQL, позволяя развертывать криптовалютные майнеры. Это открытие подчеркивает значительную угрозу кибербезопасности, так как фирма выявила более 800,000 серверов, которые могут быть уязвимы для криптоджекинговой кампании, направленной на PostgreSQL, широко используемую систему управления реляционными базами данных с открытым исходным кодом.
Согласно подробному исследовательскому отчету, предоставленному crypto.news, вредоносное ПО, получившее название «PG_MEM», начинает свою атаку, используя методы грубой силы для получения несанкционированного доступа к базам данных PostgreSQL, особенно к тем, которые защищены слабыми паролями. Как только оно успешно проникает в базу данных, PG_MEM создает роль суперпользователя, предоставляя себе административные привилегии, которые позволяют ему полностью контролировать среду базы данных и ограничивать доступ для законных пользователей.
Вредоносные программы и криптовалюта
С этим повышенным доступом вредоносное ПО может выполнять командные оболочки на хост-системе, что открывает путь для загрузки и развертывания дополнительных вредоносных нагрузок. Отчет указывает, что эти нагрузки состоят из двух файлов, специально разработанных для облегчения уклонения от обнаружения, настройки системы для майнинга криптовалюты и развертывания инструмента майнинга XMRIG, который часто используется для майнинга Monero (XMR).
XMRIG завоевал популярность среди киберпреступников благодаря функциям конфиденциальности Monero, которые затрудняют отслеживание транзакций. Примечательный инцидент в прошлом году включал образовательную платформу, которая была скомпрометирована в ходе криптоджекинговой операции, где злоумышленники незаметно развернули скрипт, который устанавливал XMRIG на устройства каждого посетителя.
Штамм вредоносного ПО PG_MEM
Дальнейший анализ показывает, что PG_MEM не только устанавливает свои майнинговые операции, но и удаляет существующие задания cron — автоматизированные задачи, запланированные для выполнения через определенные интервалы времени на сервере. Вместо них вредоносное ПО создает новые задания cron для обеспечения непрерывности процесса майнинга криптовалюты, даже в случае перезапуска сервера или временной остановки некоторых процессов. Чтобы сохранить свою скрытность, PG_MEM систематически удаляет файлы и журналы, которые могли бы потенциально раскрыть его деятельность системным администраторам.
Исследователи предупреждают, что хотя основной целью этой кампании является развертывание криптовалютных майнеров, злоумышленники одновременно получают контроль над затронутыми серверами, подчеркивая серьезность этой угрозы. Криптоджекинговые кампании, нацеленные на базы данных PostgreSQL, были постоянной проблемой на протяжении многих лет. В 2020 году исследователи из Unit 42 компании Palo Alto Networks выявили аналогичную криптоджекинговую кампанию с участием ботнета PgMiner. Кроме того, ботнет StickyDB был обнаружен в 2018 году и также нацеливался на серверы для майнинга Monero.