Вредоносная кампания JINX-0126, нацеленная на криптомайнинг, продолжает свою разрушительную работу, взломав более 1500 серверов PostgreSQL. Злоумышленники используют слабые учетные данные для аутентификации и выполняют команды с помощью оператора SQL «COPY ... FROM PROGRAM». Этот подход позволяет им запустить шелл-скрипт, устанавливающий вредоносное ПО, включая бинарный файл
Особенности атаки
Атака JINX-0126 характеризуется эволюционными методами уклонения и постоянства. Используемые бинарные файлы получают уникальные хеши, что, вероятно, направлено на обход механизмов обнаружения традиционными антивирусными решениями. Такие мерки позволяют атакующим упрочить своё присутствие в системах, эксплуатируя серверы не только на предмет вычислительных ресурсов, но и для сокрытия своего присутствия.
Эта кампания ставит под угрозу не только вычислительные мощности PostgreSQL серверов, но и репутацию компаний, которые не успели своевременно обновить и защитить свои системы. Преступники концентрируются на внедрении и сохранении своего ПО, которое способно оставить следы вмешательства непроизвольно или незаметно для администраторов.
Способы защиты
Эксперты в области кибербезопасности настаивают на важности регулярного обновления систем безопасности и использования более сложных паролей. Необходимо обеспечивать актуальность защитных механизмов и архивов с данными, чтобы минимизировать риски от операций по криптомайнингу и утечкам данных.
Незамедлительные реакции на инциденты и аналитика случаев вторжений могут помочь минимизировать ущерб и снизить вероятность повторных атак. Использование инструментариев для мониторинга и анализа аномальных активностей на серверах может повысить шансы на своевременное выявление такой вредоносной активности.