网络安全研究人员解开了一种名为 PG_MEM 的新恶意软件，该恶意软件旨在在强行进入 PostgreSQL 数据库实例后挖掘加密货币。

“对Postgres的暴力攻击涉及反复尝试猜测数据库凭据，直到获得访问权限，利用弱密码，”Aqua安全研究员Assaf Morag在一份技术报告中说。

“一旦访问，攻击者就可以利用 COPY ……FROM PROGRAM SQL 命令在主机上执行任意 shell 命令，允许它们执行恶意活动，例如数据盗窃或部署恶意软件。

这家云安全公司观察到的攻击链需要针对配置错误的PostgreSQL数据库，以在Postgres中创建管理员角色，并利用名为PROGRAM的功能来运行shell命令。

此外，在成功的暴力攻击之后，威胁参与者会进行初始侦察并执行命令以剥夺“postgres”用户的超级用户权限，从而限制可能通过相同方法获得访问权限的其他威胁参与者的权限。

shell 命令负责从远程服务器删除两个有效负载 （“128.199.77[.]96“），即 PG_MEM 和 PG_CORE，它们能够终止竞争进程（例如，Kinsing），在主机上设置持久性，并最终部署门罗币加密货币矿工。

这是通过使用名为 COPY 的 PostgreSQL 命令来实现的，该命令允许在文件和数据库表之间复制数据。它特别武器化了一个称为 PROGRAM 的参数，该参数使服务器能够运行传递的命令并将程序执行结果写入表中。

“虽然[加密货币挖掘]是主要影响，但此时攻击者也可以运行命令、查看数据和控制服务器，”莫拉格说。

“该活动正在利用具有弱密码的面向互联网的Postgres数据库。许多组织将其数据库连接到互联网，弱密码是配置错误和缺乏适当身份控制的结果。