PostgreSQL под ударом: PG_MEM превращает базы данных в криптовалютные фермы

Исследователи в области кибербезопасности обнаружили новую вредоносную программу под названием PG_MEM, которая нацелена на взлом баз данных PostgreSQL для майнинга криптовалюты. Эта программа использует метод “брутфорс” для подбора учётных данных базы данных и дальнейшего выполнения вредоносных действий.

Ассаф Мораг, специалист по безопасности из компании AquaSec, в своём техническом отчёте пояснил, что атаки на базы данных PostgreSQL начинаются с многократных попыток угадать учётные данные с использованием слабых паролей. После успешного взлома злоумышленники могут выполнять произвольные команды оболочки на сервере, что позволяет им красть данные или устанавливать вредоносное ПО.

Выявленная цепочка атак включает нацеливание на некорректно настроенные базы данных PostgreSQL для создания записи администратора и использования функции PROGRAM для выполнения команд оболочки. После успешной атаки злоумышленники проводят начальную разведку и выполняют команды, чтобы лишить пользователя “postgres” прав суперпользователя, ограничивая тем самым доступ для других возможных злоумышленников.

Дальнейшие действия включают загрузку двух вредоносных программ, PG_MEM и PG_CORE, с удалённого сервера злоумышленников. Эти программы предназначены для завершения конкурирующих процессов, таких как Kinsing, настройки постоянного доступа на сервере и, в конечном итоге, развёртывания майнера криптовалюты Monero.

Вредоносные программы используют команду PostgreSQL COPY, которая обычно предназначена для копирования данных между файлом и таблицей базы данных. В данном же случае злоумышленники активно используют параметр PROGRAM, позволяющий серверу запускать переданные команды и записывать результаты их выполнения в таблицу базы данных.

Хотя основной целью выявленных атак является майнинг криптовалюты, на этом этапе злоумышленники также могут выполнять любые системные команды, просматривать данные и контролировать сервер. Вредоносная кампания направлена на базы данных PostgreSQL с доступом из интернета и слабыми паролями, что, по мнению AquaSec, является результатом неправильной конфигурации и отсутствия надлежащего контроля доступа.

Многие организации подключают свои базы данных к интернету, но слабые пароли и отсутствие мер по защите идентификации делают их уязвимыми для подобных атак. Чтобы защитить свои системы, специалисты рекомендуют регулярно обновлять базы данных, использовать сильные пароли и ограничивать доступ к серверам из интернета.

Public Release.