PostgreSQLを悪用する新たなクリプトジャッキングマルウェアにより80万台以上のサーバーが危険にさらされる

サイバーセキュリティに長年の経験を持つ熟練の研究者として、PostgreSQL サーバーをターゲットとした PG_MEM マルウェアのこの最新の発見は憂慮すべきものであると同時に興味深いものです。このようなデータベースに対するクリプトジャッキングキャンペーンが繰り返されるテーマは、これらの脅威の復元力と適応性を明確に証明しています。

Aqua Nautilus の調査員は最近、仮想通貨マイニングプログラムをインストールするために PostgreSQL サーバーを攻撃する新しいタイプの悪意のあるソフトウェアを発見しました。

あるセキュリティ会社は、多数のアプリケーションのデータの保存、管理、取得を処理する広く使用されているオープンソースデータベースシステムである PostgreSQL を中心とした暗号通貨マイニング攻撃の影響を受ける可能性のある約 800,000 台のサーバーを発見しました。

最近 crypto.news に広められた調査レポートによると、「PG_MEM」マルウェアとされるものは、PostgreSQL データベースに対してブルートフォース攻撃を開始することで動作を開始します。脆弱なパスワードで保護されたデータベースへの侵入に成功します。

マルウェアがシステムに侵入すると、管理者権限を持つ高レベルのユーザーアカウントを設定し、データベースに対する完全な権限を与え、他のユーザーがデータベースにアクセスできないようにします。この制御により、マルウェアはホストマシン上でシェルコマンドを実行し、さらに有害なデータパッケージの転送とインストールを可能にします。

報告書の調査結果によると、データパッケージには、悪意のあるソフトウェアが識別を回避し、暗号通貨を抽出するためのシステムを設定し、Monero (XMR) のマイニングに使用される XMRIG ツールを起動するのを支援することを目的とした 1 対のファイルが含まれています。

1. XMRIG は、Monero のトランザクションの追跡が難しいため、悪意のある攻撃者によって頻繁に使用されます。昨年のクリプトジャッキング攻撃では、教育プラットフォームが侵害され、攻撃者はすべての訪問者のデバイスに XMRIG をインストールするスクリプトを密かに埋め込みました。

マルウェアが PostgreSQL サーバーをハイジャックして暗号通貨マイナーを導入

研究者らは、この悪意のあるソフトウェアが、サーバー上で特定の時間間隔で自動的に実行されるように設定されている現在のスケジュール済みタスク (cron ジョブ) を削除し、その後、仮想通貨マイナーが継続的に動作し続けるように新しいタスクをセットアップすることを発見しました。

精通した仮想通貨投資家として、私は、サーバーが再起動されたり、特定のプロセスが一時停止されたりしても、このメカニズムによってマルウェアがどのように動作を継続できるかを理解しています。検出を回避するために、サーバー上のフットプリントを明らかにする可能性のある重要なファイルと記録を体系的に消去し、レーダーにさらされないようにします。

研究者らは、このキャンペーンの主な目的は仮想通貨マイナーをインストールすることだが、攻撃者が侵害されたサーバーの指揮権をさらに奪うことに注意することが重要であると警告し、この状況の重大さを強調している。

長年にわたり、特に PostgreSQL データベースを標的としたクリプトジャッキングとして知られるサイバー攻撃が頻繁に発生しています。たとえば、パロアルトネットワークスのユニット 42 の研究者は、2020 年に PgMiner ボットネットを使用した同様のクリプトジャッキングキャンペーンを発見しました。同様に、2018 年に StickyDB ボットネットが発見され、これもサーバーに侵入して Monero をマイニングしていました。

2024-08-21 15:24