Исследователи из отдела Unit 42 компании Palo Alto Networks' отслеживают относительно новый майнинговый бот PGMiner, который использует уязвимость серверов баз данных PostgreSQL для незаконной добычи криптовалюты Monero. PostgreSQL - одна из наиболее часто используемых систем управления реляционными базами данных с открытым исходным кодом для производственных сред. Отчет The Unit 42 указывает, что это, возможно, первый случай, когда ботнет ориентирован на атаку подобного типа баз данных для добычи криптовалюты. - говорят сотрудники отдела Unit 42. В данный момент ботнет ориентирован на уязвимости серверов баз данных на основе Linux, поддерживающих PostgreSQL. Но специалисты отмечают, что люди, стоящие за PGMiner, могут изменить тактику и поставить своей целью платформы на операционных системах Windows и MacOS. Прочие Linux-ботнеты PGMiner состоит из нескольких ботнетов, ориентированных на работу в Linux-устройствах. В прошлом месяце исследователи из Intezer Labs отметили, что версия ботнета для Linux под названием Stantinko была обновлена как для добычи криптовалюты, так и для доставки вредоносного ПО до потенциальных жертв (см. Linux-ботнет маскируется под сервер Apache). Согласно записям Barracuda Networks, другим примером является ботнет «InterPlanetary Storm» (или IPStorm), который, в свою очередь, поражает устройства на операционных системах Windows, Linux, MacOS и Android. Он может использоваться для добычи криптовалюты и для DDoS-атак (см. Ботнет «InterPlanetary Storm» заражает устройства MacOS и Android). На первой стадии атаки «PGMiner» использует метод подбора стандартных аккаунтов PostgreSQL. Если учетные данные не достаточно зазищены, вредоносное ПО может получить первоначальную точку входа. В случае успешного подбора пароля ботнет использует функцию Copy from Program (уязвимость CVE-2019-9193), чтобы получить доступ к серверу и другим подключенным устройствам. Ориентир на PostgreSQL Исследователи Unit 42 отмечают, что сообщество PostgreSQL не признает CVE-2019-9193 ошибкой (на данный момент он имеет статус «оспариваемый»). Тем не менее исследователи отмечают, что операторы ботнета используют данную уязвимость как средство для «расширения» своей инфраструктуры. - отмечают исследователи Unit 42. После установки вредоносная программа пытается использовать инструмент командной строки curl для передачи данных на сервер. Если curl недоступен на скомпрометированном сервере, ботнет пытается загрузить двоичный файл и установить его в скомпрометированной среде. Следующим этапом является подключение к командному серверу, контролируемому операторами ботнета, через анонимную сеть Tor для получения инструкций и в конечном итоге для загрузки майнера. Ботнет также пытается отключить определённые инструменты безопасности, проверить наличие виртуальных машин на скомпрометированном сервере и остановить все другие процессы, интенсивно использующие ЦП. Заключительный этап это развёртывание вредоносного ПО для майнинга Monero. На данный момент, исследователи не смогли измерить, насколько успешной была деятельность ботнета «PGMiner». - отмечают исследователи. Поскольку майнинг-пул больше неактивен, мы не смогли восстановить информацию о реальной прибыли этого семейства вредоносных программ. --- Источник: Monero Mining Botnet Targets PostgreSQL Database Servers Перевод: Mr. Pickles (@v1docq47) Редактирование: Agent LvM (@LvMi4) Коррекция: Kukima (@Kukima)