Новости Ботнет-майнер Monero атакует серверы баз данных PostgreSQL

Тема в разделе "Новости", создана пользователем Mr. Pickles, 18 дек 2020.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    889
    Симпатии:
    242
    1.jpg

    Исследователи из отдела Unit 42 компании Palo Alto Networks' отслеживают относительно новый майнинговый бот PGMiner, который использует уязвимость серверов баз данных PostgreSQL для незаконной добычи криптовалюты Monero.

    PostgreSQL - одна из наиболее часто используемых систем управления реляционными базами данных с открытым исходным кодом для производственных сред. Отчет The Unit 42 указывает, что это, возможно, первый случай, когда ботнет ориентирован на атаку подобного типа баз данных для добычи криптовалюты.
    - говорят сотрудники отдела Unit 42.

    В данный момент ботнет ориентирован на уязвимости серверов баз данных на основе Linux, поддерживающих PostgreSQL. Но специалисты отмечают, что люди, стоящие за PGMiner, могут изменить тактику и поставить своей целью платформы на операционных системах Windows и MacOS.

    Прочие Linux-ботнеты

    PGMiner состоит из нескольких ботнетов, ориентированных на работу в Linux-устройствах. В прошлом месяце исследователи из Intezer Labs отметили, что версия ботнета для Linux под названием Stantinko была обновлена как для добычи криптовалюты, так и для доставки вредоносного ПО до потенциальных жертв (см. Linux-ботнет маскируется под сервер Apache).

    Согласно записям Barracuda Networks, другим примером является ботнет «InterPlanetary Storm» (или IPStorm), который, в свою очередь, поражает устройства на операционных системах Windows, Linux, MacOS и Android. Он может использоваться для добычи криптовалюты и для DDoS-атак (см. Ботнет «InterPlanetary Storm» заражает устройства MacOS и Android).

    На первой стадии атаки «PGMiner» использует метод подбора стандартных аккаунтов PostgreSQL. Если учетные данные не достаточно зазищены, вредоносное ПО может получить первоначальную точку входа.

    В случае успешного подбора пароля ботнет использует функцию Copy from Program (уязвимость CVE-2019-9193), чтобы получить доступ к серверу и другим подключенным устройствам.

    Ориентир на PostgreSQL

    Исследователи Unit 42 отмечают, что сообщество PostgreSQL не признает CVE-2019-9193 ошибкой (на данный момент он имеет статус «оспариваемый»). Тем не менее исследователи отмечают, что операторы ботнета используют данную уязвимость как средство для «расширения» своей инфраструктуры.

    - отмечают исследователи Unit 42.

    После установки вредоносная программа пытается использовать инструмент командной строки curl для передачи данных на сервер. Если curl недоступен на скомпрометированном сервере, ботнет пытается загрузить двоичный файл и установить его в скомпрометированной среде.

    Следующим этапом является подключение к командному серверу, контролируемому операторами ботнета, через анонимную сеть Tor для получения инструкций и в конечном итоге для загрузки майнера. Ботнет также пытается отключить определённые инструменты безопасности, проверить наличие виртуальных машин на скомпрометированном сервере и остановить все другие процессы, интенсивно использующие ЦП.
    Заключительный этап это развёртывание вредоносного ПО для майнинга Monero. На данный момент, исследователи не смогли измерить, насколько успешной была деятельность ботнета «PGMiner».

    - отмечают исследователи. Поскольку майнинг-пул больше неактивен, мы не смогли восстановить информацию о реальной прибыли этого семейства вредоносных программ.

    ---

    Источник: Monero Mining Botnet Targets PostgreSQL Database Servers

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
    #1 Mr. Pickles, 18 дек 2020
    Последнее редактирование: 19 дек 2020
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.