19.03.2018  Новости, Безопасность

Специалисты ИБ-компании Imperva, изучающие при помощи специального ПО состояние СУБД в онлайне, обнаружили вредоносную кампанию, в ходе которой злоумышленники атакуют серверы PostgreSQL, устанавливая на них майнеры криптовалюты Monero. В качестве приманки они применяют фотоснимок голливудской актрисы Скарлетт Йоханссон в формате .PNG. Вредоносный код для майнинга загружается с использованием методов стеганографии. Когда жертва загружает изображение, с помощью brute force (подбор пароля) вредонос пытается получить доступ к СУБД. Далее на скомпрометированной системе с помощью PostgreSQL запускаются Linux- или Unix-команды shell для установки майнера криптовалюты. Вероятность атаки на обычные серверы минимальна, так как по умолчанию доступ к PostgreSQL открыт только с локального хоста, а библиотеки с реализацией пользовательских функций на языке Си необходимо загружать в системный каталог или необходимо изменение настроек PostgreSQL (т. е. для атаки нужны полномочия администратора СУБД). По словам экспертов Imperva, большинство антивирусных решений не детектируют данные атаки. Судя по всему, они носят целевой характер и направлены на поражение конкретного облачного провайдера или оператора хостинга, предоставляющего доступ к PostgreSQL c применением некорректных с точки зрения безопасности настроек. Также возможно, что атаки используются для организации скрытого майнинга на уже взломанных серверах, поражённых каким-то иным способом (например, через эксплуатацию уязвимости ... читать далее.