Новый ботнет PgMiner атакует базы данных PostgreSQL для майнинга Monero

Специалисты по компьютерной безопасности из Palo Alto Networks Unit 42 обнаружили новый ботнет PgMiner, атакующий базы данных PostgreSQL для добычи анонимной криптовалюты Monero.

Новый ботнет похож на вирус-майнер MrbMiner, однако если последний заражал базы данных Microsoft SQL, то PgMiner специализируется на PostgreSQL. Тактика ботнета проста – он сканирует доступные IP-адреса в поисках серверов с базами данных PostgreSQL и использует метод подбора пароля для получения административных прав. Вирус пытается подобрать пароль к postgres – пользователю по умолчанию.

В случае, если администраторы сервера не заблокировали аккаунт postgres, либо установили слабый пароль, PgMiner получает доступ к базе данных и использует функцию COPY from PROGRAM для доступа к базовой операционной системе сервера и полноценного заражения устройства. После этого вирус скачивает и запускает программу для добычи анонимной криптовалюты Monero.

По данным специалистов Palo Alto Networks Unit 42, сейчас ботнет PgMiner заражает сервера архитектур MIPS, ARM и x64 на базе ОС Linux. Управление ботнетом идет через сервер контроля, расположенный в сети Tor. Судя по всему, для создания PgMiner хакеры использовали код вируса SystemdMiner.

Напомним, что в августе сообщалось о появлении ботнета FritzFrog, который сканирует адреса и взламывает серверы для добычи Monero.