محققان از کشف بات‌نتی خبر داده‌اند که با رخنه به پایگاه‌های داده PostgreSQL، یک استخراج‌کننده ارز رمز بر روی سرور میزبان آنها نصب می‌کند.
به گزارش معاونت بررسی مرکز افتا به نقل از سایت zdnet، بات‌نت مذکور که از آن با عنوان PgMiner یاد شده یکی از جدیدترین تهدیداتی است که فناوری‌های وب را با انگیزه‌های مالی مورد حمله قرار می‌دهد.
بر اساس گزارشی که شرکت پالوآلتو نت‌ورکز آن را منتشر کرده این بات‌نت (Botnet) با بهره‌گیری از تکنیک سعی‌وخطا (Brute-force) بانک‌های داده PostgreSQL را که بر روی اینترنت قابل دسترس قرار گرفته‌اند هک می‌کند.
حمله PgMiner از یک الگوی ساده پیروی می‌کند.
بات‌نت به‌صورت تصادفی دامنه‌ای از نشانی‌های IP عمومی (Public) را انتخاب کرده و باز بودن درگاه ۵۴۳۲ را که درگاه متداول PostgreSQL است بر روی آنها بررسی می‌کند.
در صورت یافتن یک سیستم فعال PostgreSQL، بات‌نت از مرحله پویش وارد مرحله Brute-force شده و بر اساس فهرستی بلندبالا از رمزهای عبور برای کشف اطلاعات اصالت‌سنجی postgres (حساب کاربری پیش‌فرض در PostgreSQL) تلاش می‌کند.
حال در صورتی که راهبران بانک داده، غیرفعال‌سازی این حساب کاربری یا حداقل تخصیص رمزی پیچیده به آن را فراموش کرده باشند، مهاجمان موفق به دستیابی به بانک داده و استفاده از قابلیت COPY from PROGRAM در PostgreSQL برای ترفیع دامنه دسترسی خود از بانک داده به سرور و در ادامه کل سیستم عامل خواهند شد.
به‌محض آنکه دسترسی مهاجمان بر روی سیستم آلوده فراهم شد برنامه‌ای را برای استخراج ارز رمز Monero بر روی آن توزیع می‌کنند.
در زمان انتشار گزارش پالوآلتو نت‌ورکز، بات‌نت توانایی توزیع ابزارهای استخراج‌کننده را تنها بر روی بسترهای Linux MIPS، ARM و x۶۴ دارد.
از دیگر ویژگی‌های بات‌نت PgMiner می‌توان به قرار داشتن سرور فرماندهی (C۲) آن در شبکه Tor اشاره کرد. به نظر می‌رسد که کد پایه  از بات‌نت SystemdMiner الگوبرداری شده است.

PgMiner دومین تهدیدی است که بانک‌های داده PostgreSQL را هدف قرار می‌دهد. پیش‌تر در سال ۲۰۱۸ نیز بات‌نت StickyDB حمله‌ای مشابه را اجرا کرده بود.
MySQL، MSSQL، Redis و OrientDB از دیگر فناوری‌های بانک داده‌ای هستند که حداقل در مقاطعی هدف بات‌نت‌های استخراج‌کننده ارز رمز قرار گرفته‌اند.
مشروح گزارش پالوآلتو نت‌ورکز در لینک زیر قابل دریافت و مطالعه است:

https://unit۴۲.paloaltonetworks.com/pgminer-postgresql-cryptocurrency-mining-botnet/
نشانه‌های آلودگی (IoC)

منبع:

https://www.zdnet.com/article/pgminer-botnet-attacks-weakly-secured-postgresql-databases/