Nouveau malware PG_MEM : PostgreSQL ciblé pour miner de la crypto-monnaie.

Laisser un commentaire / Par /
New PG_MEM Malware Targets PostgreSQL Databases to Mine Cryptocurrency

PG_MEM : Un nouveau malware ciblant les bases de données PostgreSQL

Aqua Security a découvert PG_MEM, un nouveau malware ciblant les bases de données PostgreSQL et exploitant les mots de passe faibles pour délivrer des charges utiles et miner de la cryptomonnaie.

Attaque multi-étapes de PG_MEM

Les chercheurs ont identifié environ 800 000 instances de bases de données PostgreSQL accessibles publiquement comme étant vulnérables à ce malware. Celui-ci fonctionne à travers une attaque multi-étapes visant à compromettre les bases de données et à déployer des mineurs de cryptomonnaie.

Fonctionnement de l’attaque

L’attaque commence par une tentative de force brute sur la base de données PostgreSQL pour deviner les identifiants de connexion. Une fois cette étape réalisée, les attaquants créent un nouveau rôle superutilisateur avec des privilèges élevés, leur permettant de conserver l’accès à la base de données même si les identifiants d’origine sont modifiés.

Ensuite, l’attaquant recueille des informations sur le système, telles que la version et la configuration du serveur PostgreSQL, afin d’identifier d’éventuelles vulnérabilités et d’adapter l’attaque en conséquence. Les attaquants téléchargent des charges malveillantes depuis un serveur distant, comprenant généralement des logiciels de minage de cryptomonnaie et des outils de persistance et d’évasion.

Actions de l’attaquant

Les attaquants prennent des mesures pour assurer la persistance, telles que la création de tâches cron ou la modification des fichiers de configuration du système, ce qui permet au malware de continuer à fonctionner même après le redémarrage du système.

De plus, ils évitent la détection en supprimant les fichiers et journaux liés à leur activité malveillante.

Protection des environnements PostgreSQL

Étant donné l’utilisation répandue des bases de données PostgreSQL dans diverses applications, il est essentiel pour les organisations de surveiller les activités suspectes, d’implémenter une authentification forte avec des mots de passe robustes et une authentification multi-facteurs, d’isoler les bases de données du réseau, et d’utiliser des outils de sécurité pour détecter et prévenir rapidement les activités malveillantes.

Source : hackread.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut