Выявлена автономная сеть, массово атакующая СУБД PostgreSQL

Автономная сеть зараженных устройств (ботнет) проводит массовое сканирования сетевых адресов в поисках слабо защищенных систем управления базами данных (СУБД) PostgreSQL, заявили в компании в области информационной безопасности Palo Alto Networks. Об этом 13 декабря сообщает американское издание об информационных технологиях ZDNet.

Согласно информации специалистов Palo Alto Networks, ботнет PgMiner массово сканирует IP-адреса подсети 18...*. В случае обнаружения СУБД PostgreSQL на сервере производится атака с помощью перебора паролей.

Если СУБД оказывается доступной из Интернета и имеет слабый, либо словарный пароль, ботнет используют функцию копирования в файл для создания требуемых сценариев на диске сервера. Затем сценарии запускаются в попытке расширить привилегии и установить вредоносное программное обеспечение (ПО).

В качестве вредоносной нагрузки выступает программа по добыче криптовалюты Monero. Вредоносная программа не пытается как-то скрыть свое присутствие на сервере, а работает в полную мощность вплоть до обнаружения.

Специалисты Palo Alto Networks утверждают, что вредоносное ПО успешно работает на серверах под управлением операционной системы (ОС) Linux на аппаратной архитектуре x64, ARM, MIPS.

Отличительной особенностью ботнета является размещение управляющего сервера в сети анонимного доступа Tor. Код PgMiner на поверку оказался родственным аналогичным системам SystemdMiner и StickyDB, активность которых отмечалась, начиная с 2018 года.