Aqua Nautilusの研究者たちは、PostgreSQLサーバーを標的とする新しいマルウェア「PG_MEM」を発見しました。このマルウェアは、脆弱なパスワードを使用しているデータベースにブルートフォース攻撃を行い侵入し、管理者権限を持つスーパーユーザーとして制御を確立します。これにより、他のユーザーのアクセスをブロックし、ホストシステムでシェルコマンドを実行して、追加の悪意あるペイロードをダウンロード・展開します。
ペイロードには、マルウェアが発見されないようにするためのファイルや、仮想通貨マイニングのための設定を行い、モネロ(XMR)を採掘するためのXMRIGマイニングツールが含まれています。また、マルウェアは既存のcronジョブを削除し、新たに作成して、サーバーが再起動されてもマイナーが継続して動作するようにします。研究者たちは、この攻撃がサーバーの完全な制御をもたらすことから、その深刻さを警告しています。
PostgreSQLデータベースを狙ったクリプトジャッキングキャンペーンは過去にも繰り返し発生しており、2020年にはPgMinerボットネット、2018年にはStickyDBボットネットが発見されていました。
