Minggu ini, peneliti keamanan telah menemukan operasi botnet yang menargetkan database PostgreSQL untuk menginstal penambang cryptocurrency.
Disebut sebagai PgMiner oleh para peneliti, botnet ini hanyalah yang terbaru dari daftar panjang operasi kejahatan siber baru-baru ini yang menargetkan teknologi web untuk keuntungan moneter.
Menurut para peneliti di Palo Alto Networks ‘Unit 42, botnet beroperasi dengan melakukan serangan brute force terhadap database PostgreSQL yang dapat diakses internet.
Botnet secara acak memilih range jaringan publik (mis., 18.xxx.xxx.xxx) dan kemudian melakukan iterasi melalui semua bagian alamat IP dari rentang itu, mencari sistem yang port PostgreSQL (port 5432) nya terkspos secara online.
Jika PgMiner menemukan sistem PostgreSQL yang aktif, botnet berpindah dari fase pemindaian ke fase brute-force, di mana ia mengacak daftar panjang kata sandi dalam upaya untuk menebak kredensial untuk “postgres,” akun PostgreSQL default.
Jika pemilik database PostgreSQL lupa menonaktifkan user ini atau lupa mengubah kata sandinya, peretas akan mengakses database dan menggunakan fitur COPY PostgreSQL dari PROGRAM untuk meningkatkan akses mereka dari aplikasi database ke server yang mendasarinya dan mengambil alih seluruh OS.
Begitu mereka memiliki pegangan yang lebih kuat pada sistem yang terinfeksi, kru PgMiner menyebarkan aplikasi penambangan koin dan mencoba menambang cryptocurrency Monero sebanyak mungkin sebelum terdeteksi.
Menurut Unit 42, pada laporan mereka, botnet hanya memiliki kemampuan untuk menyebarkan penambang di platform Linux MIPS, ARM, dan x64. Operator Botnet PgMiner juga telah mengendalikan bot yang terinfeksi melalui server perintah dan kontrol (C2) yang dihosting di jaringan Tor dan bahwa basis kode botnet tersebut tampak menyerupai botnet SystemdMiner.
Sumber: ZDNet