В последние недели наблюдается значительное увеличение атак на серверы PostgreSQL, в которых используется мощное вредоносное ПО под названием JINX-0126. Этот вирус атакует серверы, используемые для управления большими объемами данных, и применяется для целей криптомайнинга, что негативно сказывается на их производительности и безопасности.
Технология атаки
Хакеры, которые стоят за этой кампанией, действуют через эксплуатацию слабых удостоверений безопасности. Попадая в систему, они используют команду «COPY ... FROM PROGRAM SQL» для выполнения вредоносных команд. Это позволяет загружать и запускать скрипт оболочки, посредством которого устанавливается ряд опасного ПО. Среди вредоносных инструментов выявлены двоичный файл pg_core и бинарный файл, имитирующий сервер PostgreSQL, но написанный на
Методы уклонения и сохранения
Эволюция JINX-0126 показывает высокую степень продуманности атакующих. С целью избежать обнаружения, они применяют уникальные хэши для каждого исполняемого файла. Это усложняет задачу антивирусным программам в поиске и нейтрализации угроз. Более того, их атакующая техника продвигает новые методы автоматизированного уклонения и долгосрочного сохранения работы вирусов в системе.
Атака привела к компрометации более 1500 серверов, что вызвало широкий резонанс среди специалистов по информационной безопасности. Они бьют тревогу и подчеркивают необходимость усиленной защиты серверов, чтобы предотвратить дальнейшие атаки и минимизировать риски для криптовалютных систем.