تستهدف البرامج الضارة الجديدة PG_MEM قواعد بيانات PostgreSQL لتعدين العملات المشفرة
كشف باحثو الأمن السيبراني عن سلالة جديدة من البرامج الضارة يطلق عليها اسم PG_MEM والتي تم تصميمها لاستخراج العملات المشفرة بعد شق طريقها إلى مثيلات قاعدة بيانات PostgreSQL.
“تتضمن هجمات القوة الغاشمة على Postgres محاولة متكررة لتخمين بيانات اعتماد قاعدة البيانات حتى يتم الوصول إليها، واستغلال كلمات المرور الضعيفة،” الباحث في مجال الأمن في Aqua، عساف موراج قال في تقرير فني.
“بمجرد الوصول إليه، يمكن للمهاجمين الاستفادة من نسخ … من برنامج SQL لتنفيذ أوامر shell عشوائية على المضيف، مما يسمح له بتنفيذ أنشطة ضارة مثل سرقة البيانات أو نشر البرامج الضارة.”
تستلزم سلسلة الهجوم التي لاحظتها شركة الأمن السحابي استهداف قواعد بيانات PostgreSQL التي تم تكوينها بشكل خاطئ لإنشاء دور مسؤول في Postgres واستغلال ميزة تسمى PROGRAM لتشغيل أوامر shell.
بالإضافة إلى ذلك، يتبع هجوم القوة الغاشمة الناجح قيام ممثل التهديد بإجراء الاستطلاع الأولي وتنفيذ الأوامر لتجريد مستخدم “postgres” من أذونات المستخدم المتميز، وبالتالي تقييد امتيازات الجهات الفاعلة التهديدية الأخرى التي قد تحصل على الوصول من خلال نفس الطريقة.
أوامر shell مسؤولة عن إسقاط حمولتين من خادم بعيد (“128.199.77[.]96”)، وهي PG_MEM وPG_CORE، القادرة على إنهاء العمليات المتنافسة (على سبيل المثال، Kinsing)، وإعداد الثبات على المضيف، وفي النهاية نشر أداة تعدين العملة المشفرة Monero.
يتم تحقيق ذلك عن طريق استخدام أمر PostgreSQL المسمى COPY، والذي يسمح بنسخ البيانات بين ملف وجدول قاعدة البيانات. إنه يستخدم بشكل خاص معلمة تعرف باسم PROGRAM والتي تمكن الخادم من تشغيل الأمر الذي تم تمريره وكتابة نتائج تنفيذ البرنامج إلى الجدول.
“بينما [cryptocurrency mining] وقال موراج: “هو التأثير الرئيسي، ففي هذه المرحلة يمكن للمهاجم أيضًا تشغيل الأوامر وعرض البيانات والتحكم في الخادم”.
“تستغل هذه الحملة الإنترنت الذي يواجه قواعد بيانات Postgres بكلمات مرور ضعيفة. تقوم العديد من المؤسسات بربط قواعد بياناتها بالإنترنت، وكلمة المرور الضعيفة هي نتيجة للتكوين الخاطئ، والافتقار إلى ضوابط الهوية المناسبة.”
إرسال التعليق