Ботнет PgMiner атакует слабо защищенные базы данных PostgreSQL
15/12/20
Эксперты подразделения Unit 42 компании Palo Alto Networks обнаружили вредоносную кампанию операторов ботнета, нацеленную на базы данных PostgreSQL с целью установки криптовалютного майнера. Ботнет, получивший название PgMiner, осуществляет брутфорс-атаки на слабо защищенные СУБД PostgreSQL.
Ботнет случайным образом выбирает диапазон общедоступной сети (например, 18.xxx.xxx.xxx), а затем перебирает все части этого диапазона IP-адресов в поисках систем, в которых порт PostgreSQL (порт 5432) открыт в Сети. Если PgMiner находит активную систему PostgreSQL, ботнет переходит от фазы сканирования к брутфорс-атакам, в рамках которых он перебирает длинный список паролей в попытке угадать вшитые учетные данные для «postgres», учетной записи PostgreSQL.
Если владельцы базы данных PostgreSQL забыли изменить пароли, хакеры могут получить доступ к базе данных и использовать функцию PostgreSQL COPY from PROGRAM, чтобы расширить свой доступ из приложения базы данных к базовому серверу и перехватить контроль над ОС.
Получив более надежный контроль над зараженной системой, операторы PgMiner развертывают приложение для добычи криптовалюты Monero. По словам экспертов, ботнет имеет возможность развертывать майнеры только на платформах Linux MIPS, ARM и x64.
Операторы PgMiner контролируют зараженных ботов с помощью C&C-сервера, размещенного в сети Tor, а кодовая база ботнета напоминает ботнет SystemdMiner.
Это не первый раз, когда СУБД PostgreSQL используются злоумышленниками для криптомайнинга. В 2018 году злоумышленники атаковали серверы с СУБД PostgreSQL, устанавливая на них майнеры криптовалюты Monero. В качестве «приманки» они использовали изображение голливудской актрисы Скарлетт Йоханссон.