یافتههای جدید محققان امنیتی نشان میدهد که سازندگان باتنت PGMiner از طریق بهرهبرداری از یکی از آسیبپذیریهای PostgreSQL که با شناسه CVE-2019-9193 پیگیری میشود، سیستمهای آسیبپذیر با سیستمعامل لینوکس را مورد هدف خود قرار داده و پس از آلوده کردن دستگاهها، اقدام به استخراج ارز دیجیتال میکنند.
باتنت PGMiner پس اجرا در دستگاههای آلوده، از ابزار خط فرمان Curl برای انجام کارهای خود استفاده میکند. همچنین براساس اطلاعات موجود، اگر این ابزار در دستگاه قربانی موجود نباشد، این باتنت روشهای مختلفی را برای دانلود نسخه باینری curl و اضافه کردن آن به مسیرهای اجرایی امتحان میکند.
قدم بعدی این بدافزار، اتصال به سرورهای کنترل و فرمان (C&C) از طریق پروکسیهای SOCKS5 است. سپس باتنت PGMiner اطلاعات سیستم را جمعآوری کرده و آنها را به سرور C&C خود بهمنظور اینکه چه نسخهای از پیلود استخراج کننده باید روی دستگاه دانلود و اجرا شود ارسال میکند.
براساس اطلاعات موجود، این بدافزار ابزارهای حفاظتی فضای ابری از جمله Aegis و Yunjing را حذف کرده و بهروزرسانیهای سیستم را نیز حذف میکند.
کاربران PostgreSQL برای محافظت از سرورهای خود میتوانند دسترسی « pg_execute_server_program» را از کاربران غیرقابل اعتماد و غیرضروری سلب کنند که این امر از اجرای اکسپلویتهای PGMiner جلوگیری میکند. همچنین ارتقاء PostgreSQL به آخرین نسخه و نصب اصلاحیههای امنیتی، از آلوده شدن به این باتنت جلوگیری میکند.
توضیحات بیشتر:
- PGMiner, Innovative Monero-Mining Botnet, Surprises Researchers