Als erfahrener Forscher mit jahrelanger Erfahrung im Bereich Cybersicherheit ist diese neueste Entdeckung der PG_MEM-Malware, die auf PostgreSQL-Server abzielt, sowohl besorgniserregend als auch faszinierend. Das wiederkehrende Thema von Kryptojacking-Kampagnen gegen solche Datenbanken ist ein klarer Beweis für die Widerstandsfähigkeit und Anpassungsfähigkeit dieser Bedrohungen.
Ermittler von Aqua Nautilus haben kürzlich eine neue Art von Schadsoftware entdeckt, die gezielt PostgreSQL-Server angreift, um Kryptowährungs-Mining-Programme zu installieren.
Ein Sicherheitsunternehmen hat etwa 800.000 Server entdeckt, die möglicherweise anfällig für einen Kryptowährungs-Mining-Angriff sind, der sich auf PostgreSQL konzentriert, ein weit verbreitetes Open-Source-Datenbanksystem, das die Datenspeicherung, -verwaltung und -abfrage für zahlreiche Anwendungen übernimmt.
Einem kürzlich an crypto.news veröffentlichten Forschungsbericht zufolge startet die mutmaßliche Schadsoftware „PG_MEM“ ihre Aktion mit einem Brute-Force-Angriff auf PostgreSQL-Datenbanken. Es dringt erfolgreich in Datenbanken ein, die durch schwache Passwörter geschützt sind.
Sobald die Malware in das System eindringt, richtet sie ein übergeordnetes Benutzerkonto mit Administratorrechten ein, das ihr vollständige Autorität über die Datenbank verleiht und verhindert, dass andere Benutzer darauf zugreifen. Mit dieser Kontrolle führt die Malware Shell-Befehle auf dem Host-Rechner aus, was die Übertragung und Installation weiterer schädlicher Datenpakete ermöglicht.
Den Ergebnissen des Berichts zufolge enthalten die Datenpakete zwei Dateien, die der Schadsoftware helfen sollen, einer Identifizierung zu entgehen, das System für die Kryptowährungsextraktion zu konfigurieren und das XMRIG-Tool zu aktivieren, das für das Mining von Monero (XMR) verwendet wird.
1. XMRIG wird aufgrund der schwierig zu verfolgenden Monero-Transaktionen häufig von böswilligen Akteuren eingesetzt. Bei einem Kryptojacking-Angriff im vergangenen Jahr wurde eine Bildungsplattform gehackt und die Angreifer schleusten heimlich ein Skript ein, das XMRIG auf dem Gerät jedes Besuchers installierte.
Malware kapert PostgreSQL-Server, um Krypto-Miner einzusetzen
Forscher haben herausgefunden, dass diese Schadsoftware aktuelle geplante Aufgaben (Cron-Jobs) löscht, die so eingestellt sind, dass sie in bestimmten Zeitintervallen automatisch auf einem Server ausgeführt werden, und dann neue einrichtet, um sicherzustellen, dass der Kryptowährungs-Miner kontinuierlich weiterarbeitet.
Als versierter Krypto-Investor verstehe ich, wie dieser Mechanismus es Malware ermöglicht, ihren Betrieb fortzusetzen, unabhängig davon, ob der Server neu gestartet wird oder bestimmte Prozesse vorübergehend angehalten werden. Um einer Entdeckung zu entgehen, löscht es systematisch wichtige Dateien und Aufzeichnungen, die möglicherweise seine Spuren auf dem Server preisgeben könnten, und bleibt so unter dem Radar.
Forscher haben darauf hingewiesen, dass das Hauptziel der Kampagne zwar darin besteht, einen Kryptowährungs-Miner zu installieren, es jedoch wichtig ist zu beachten, dass die Angreifer zusätzlich die Kontrolle über den kompromittierten Server übernehmen, was den Ernst der Lage unterstreicht.
Im Laufe der Jahre kam es häufig zu Cyberangriffen namens Cryptojacking, die speziell auf PostgreSQL-Datenbanken abzielten. Forscher der Unit 42 von Palo Alto Networks fanden beispielsweise im Jahr 2020 eine ähnliche Kryptojacking-Kampagne, bei der das PgMiner-Botnetz zum Einsatz kam. Ebenso wurde im Jahr 2018 das StickyDB-Botnetz aufgedeckt, das ebenfalls Server infiltriert hatte, um Monero abzubauen.
Weiterlesen
- Die schwangere Gypsy Rose Blanchard und ihr Freund Ken Urker machen einen Kajakausflug
- „Wie wäre es, wenn der Präsident beschließt, nicht zu kandidieren?“
- BBC-Frühstücksfans toben: „Ich gehe wieder ins Bett!“ da die Show gekürzt und auf einen kleineren Kanal herabgestuft wird
- Das war nicht der Plan
- Dies ist ein Film über ein Mädchen namens Britney
- Abu Dhabi eröffnet Blockchain Center
- Bitcoin-Miner-Reserven fallen auf Dreijahrestief, da Todeskreuz droht
- Ein Einblick in Freddie Flintoffs Leben jetzt nach dem Horror-Crash von Top Gear, während die neue Field of Dreams-Serie beginnt: Wie der Star Trost im Cricket fand, nachdem er sieben Monate lang das Haus nicht verlassen hatte … aber er gibt zu, dass er sich „nie wieder besser fühlen wird“
- Bybit stellt ein neues Listing-Framework vor, um die Standards des Kryptomarktes zu erhöhen
- Globale Gold-ETFs verzeichnen die stärksten Zuflüsse seit April 2022
2024-08-21 15:24