أكثر من 800 ألف خادم في خطر بسبب برامج التشفير الجديدة تستغل PostgreSQL – اقرأ المزيد الآن!
كشف باحثون في شركة أكوا نوتيلوس عن برمجية خبيثة جديدة تستهدف خوادم PostgreSQL لنشر برمجيات تعدين العملات المشفرة.
تحديد الخوادم الضعيفة
حددت شركة الأمن السيبراني أكثر من 800,000 خادم يحتمل أن تكون عُرضة لحملة تعدين خبيثة تستهدف PostgreSQL، وهو نظام إدارة قواعد بيانات علائقية مفتوح المصدر يستخدم لتخزين وإدارة واسترجاع البيانات لمختلف التطبيقات.
آلية الهجوم
وفقًا لتقرير بحثي تمت مشاركته مع crypto.news، تبدأ البرمجية الخبيثة المسماة “PG_MEM” بمحاولة الوصول إلى قواعد بيانات PostgreSQL باستخدام هجوم القوة الغاشمة، وتتمكن من اختراق قواعد البيانات التي تستخدم كلمات مرور ضعيفة.
بمجرد اختراق النظام، تُنشئ البرمجية الخبيثة دورًا للمستخدم الفائق بامتيازات إدارية، مما يمكنها من التحكم الكامل في قاعدة البيانات وحجب الوصول عن المستخدمين الآخرين. مع هذا التحكم، تنفذ البرمجية أوامر شل على النظام المضيف لتسهيل تنزيل ونشر حمولات خبيثة إضافية.
التفاصيل التقنية للحملة
- الحمولات تحتوي على ملفين مصممين لتمكين البرمجية من تفادي الكشف وإعداد النظام لتعدين العملات المشفرة.
- تقوم البرمجية بنشر أداة التعدين XMRIG المستخدمة لتعدين مونيرو (XMR).
تُستخدم XMRIG غالبًا من قبل المهاجمين بسبب صعوبة تتبع معاملات مونيرو. في العام الماضي، تم اختراق منصة تعليمية في حملة تعدين خبيثة حيث قام المهاجمون بنشر برمجية خفية تنصب XMRIG على نظام كل زائر.
استمرارية العمليات
البرمجية الخبيثة تزيل الوظائف المجدولة الحالية، وهي مهام تجرى تلقائيًا في فترات محددة على الخادم، وتخلق وظائف جديدة لضمان استمرار تشغيل المُعدن.
يسمح ذلك للبرمجية الخبيثة بمواصلة عملياتها حتى إذا تم إعادة تشغيل الخادم أو تعطل بعض العمليات مؤقتًا. للبقاء دون أن يُكشَف، تحذف البرمجية ملفات وسجلات معينة يمكن استخدامها لتتبع أو تحديد نشاطاتها على الخادم.
تحذيرات الباحثين
حذر الباحثون من أن الهدف الرئيسي للحملة هو نشر مُعدن العملات المشفرة، لكن المهاجمين ينالون أيضًا السيطرة على الخادم المتأثر، مما يبرز خطورة هذه الهجمات.
تهديد متكرر
حملات التعدين الخبيثة التي تستهدف قواعد بيانات PostgreSQL كانت تهديدًا متكررًا على مر السنين. في عام 2020، اكتشف باحثو وحدة 42 في Palo Alto Networks حملة مماثلة تضمنت شبكة بوت نت PgMiner. في عام 2018، تم اكتشاف شبكة بوت نت StickyDB التي اخترقت أيضًا الخوادم لتعدين مونيرو.