توصل باحثون في Aqua Nautilus إلى كشف عن برامج ضارة جديدة تستهدف خوادم PostgreSQL لنشر منقبي العملات الرقمية.
وقد حددت شركة الأمان السيبراني أكثر من 800 ألف خادم قد يكون معرضاً لحملة تعدين العملات الرقمية التي تستهدف PostgreSQL، وهو نظام إدارة قواعد بيانات علاقية مفتوح المصدر يستخدم لتخزين وإدارة واسترجاع البيانات لتطبيقات مختلفة.
ووفقًا لتقرير البحث المشترك مع crypto.news، تبدأ البرمجية الضارّة المعروفة بـ “PG_MEM” عند محاولة الوصول إلى قواعد بيانات PostgreSQL بقوة الدفع وتنجح في التسلل إلى القواعد بكلمات مرور ضعيفة.
وبمجرد تسلل البرمجية الضارة إلى النظام، تنشئ دور مستخدم فائق بامتيازات إدارية، مما يتيح لها السيطرة الكاملة على قاعدة البيانات وحجب الوصول للمستخدمين الآخرين. بهذا التحكم، تقوم البرمجية الضارة بتنفيذ أوامر قذيفة على النظام المضيف، مما ييسر تنزيل ونشر حمولات ضارة إضافية.
ووفقًا للتقرير، تحتوي الحمولات على ملفين مصممين للسماح للبرمجية الضارة بتفادي الكشف، وتهيئة النظام لتعدين العملات الرقمية، ونشر أداة التعدين XMRIG المستخدمة لتعدين العملة المشفرة Monero (XMR).
ويتم استخدام XMRIG غالبًا من قبل الجهات الهدامة بسبب صعوبة تتبع معاملات Monero. في العام الماضي، تعرضت منصة تعليمية لحملة تعدين العملات الرقمية حيث نفذ المهاجمون سكريبت مخفيًا نصبوا على كل نظام زائر.
ووجد الباحثون أن البرمجية الضارة تقوم بإزالة وظائف الاتوماتيك الموجودة، والتي هي مهام مجدولة تعمل تلقائياً في فترات محددة على الخادم وتقوم بإنشاء وظائف جديدة لضمان استمرار تشغيل منجني العملة الرقمية.
يسمح ذلك للبرمجية الضارة بمواصلة عملياتها حتى لو تم إعادة تشغيل الخادم أو تم إيقاف بعض العمليات مؤقتاً. ولكي تبقى غير ملاحظة، تقوم البرمجية الضارة بحذف ملفات وسجلات محددة يمكن استخدامها لتتبع أو تحديد أنشطتها على الخادم.
حذر الباحثون من أن غاية الحملة الأساسية هي نشر منقب العملات المشفرة، ولكن المهاجمين أيضا يحصلون على السيطرة على الخادم المتأثر، مما يبرز خطورتها. وعانت الحملات الهدامة التي تستهدف قواعد بيانات PostgreSQL تهديدًا متكررًا على مر السنين.
ففي عام 2020، كشف باحثو Palo Alto Networks Unit 42 عن حملة تعدين عملات مشفرة مماثلة تشمل شبكة PgMiner. وفي عام 2018، تم اكتشاف شبكة StickyDB التي تسللت أيضًا إلى الخوادم لتعدين عملات مشفرة.