أكثر من 800 ألف خادم معرض للخطر بسبب برنامج ضار جديد لتعدين العملات المشفرة يستغل PostgreSQL
اكتشف باحثون في شركة Aqua Nautilus برنامجًا ضارًا جديدًا يستهدف خوادم PostgreSQL لنشر آلات تعدين العملات المشفرة.
حددت شركة الأمن السيبراني أكثر من 800 ألف خادم معرضة للخطر بسبب حملة قرصنة العملات المشفرة التي تستهدف PostgreSQL، وهو نظام إدارة قواعد بيانات علائقية مفتوح المصدر يستخدم لتخزين وإدارة واسترداد البيانات لتطبيقات مختلفة.
وفقًا لتقرير بحثي تمت مشاركته مع crypto.news، يبدأ ما يسمى بالبرمجيات الخبيثة “PG_MEM” بمحاولة الوصول إلى قواعد بيانات PostgreSQL باستخدام هجوم القوة الغاشمة ويتمكن من التسلل إلى قواعد البيانات باستخدام كلمات مرور ضعيفة.
بمجرد تسلل البرامج الضارة إلى النظام، فإنها تنشئ دور مستخدم خارق يتمتع بامتيازات إدارية، مما يمكنها من السيطرة الكاملة على قاعدة البيانات ومنع وصول المستخدمين الآخرين إليها. وبفضل هذه السيطرة، تقوم البرامج الضارة بتنفيذ أوامر shell على نظام المضيف، مما يسهل تنزيل ونشر حمولات ضارة إضافية.
وبحسب التقرير، تحتوي الحمولات على ملفين مصممين للسماح للبرامج الضارة بالتهرب من الاكتشاف، وإعداد النظام لتعدين العملات المشفرة، ونشر أداة التعدين XMRIG المستخدمة في تعدين Monero (XMR).
غالبًا ما يستخدم الجناة XMRIG بسبب معاملات Monero التي يصعب تتبعها. في العام الماضي، تعرضت منصة تعليمية للاختراق في حملة اختطاف العملات المشفرة حيث نشر المهاجمون نصًا مخفيًا قام بتثبيت XMRIG على نظام كل زائر.
قد يعجبك أيضاً: فك تشفير التعدين الخفي: ما هو وكيف يمكنك حماية نفسك؟
البرامج الضارة تخترق خوادم PostgreSQL لنشر أجهزة تعدين العملات المشفرة
اكتشف المحللون أن البرامج الضارة تزيل مهام cron الموجودة، وهي مهام مجدولة تعمل تلقائيًا على فترات زمنية محددة على الخادم، وتنشئ مهام جديدة لضمان استمرار تشغيل برنامج تعدين العملات المشفرة.
يتيح هذا للبرامج الضارة مواصلة عملياتها حتى في حالة إعادة تشغيل الخادم أو في حالة إيقاف بعض العمليات مؤقتًا. وللبقاء دون أن يلاحظها أحد، تقوم البرامج الضارة بحذف ملفات وسجلات معينة يمكن استخدامها لتتبع أنشطتها على الخادم أو تحديدها.
وحذر الباحثون من أنه في حين أن الهدف الأساسي للحملة هو نشر برنامج تعدين العملات المشفرة، فإن المهاجمين يحصلون أيضًا على السيطرة على الخادم المتأثر، مما يسلط الضوء على خطورتها.
كانت حملات اختطاف العملات المشفرة التي تستهدف قواعد بيانات PostgreSQL تشكل تهديدًا متكررًا على مر السنين. في عام 2020، كشف باحثو وحدة 42 التابعة لشركة Palo Alto Networks عن حملة اختطاف عملات مشفرة مماثلة تتضمن شبكة PgMiner. في عام 2018، تم اكتشاف شبكة StickyDB، والتي تسللت أيضًا إلى الخوادم لتعدين Monero.
اقرأ المزيد: رجل من نبراسكا يواجه عقوبة السجن لمدة تصل إلى 30 عامًا في قضية سرقة عملات رقمية بقيمة 3.5 مليون دولار