PG_MEM: Malware Baru Eksploitasi PostgreSQL untuk Kripto

Para peneliti keamanan siber baru-baru ini mengidentifikasi malware baru bernama PG_MEM yang dirancang khusus untuk menambang mata uang kripto dengan mengeksploitasi kerentanan dalam sistem database PostgreSQL. Serangan ini dilakukan dengan metode brute-force, di mana penyerang mencoba menebak kredensial database hingga mereka berhasil mendapatkan akses. Teknik ini mengeksploitasi kelemahan kata sandi yang lemah pada database PostgreSQL, sebuah platform yang digunakan secara luas untuk mengelola data.

Peneliti keamanan dari Aqua, Assaf Morag, dalam laporan teknisnya menjelaskan bahwa serangan brute-force pada PostgreSQL melibatkan upaya berulang untuk menebak kredensial login hingga akses ke database berhasil didapatkan. Setelah mendapatkan akses, penyerang dapat menggunakan perintah SQL COPY ... FROM PROGRAM untuk mengeksekusi perintah shell pada host yang diserang. Dengan kemampuan ini, penyerang dapat melakukan berbagai aktivitas berbahaya seperti mencuri data sensitif atau menyebarkan malware ke dalam sistem.

Serangan ini khususnya menargetkan database PostgreSQL yang salah konfigurasi. Dalam banyak kasus, pelaku serangan berupaya menciptakan peran administrator dalam sistem PostgreSQL, yang kemudian memungkinkan mereka menjalankan perintah shell. Salah satu fitur yang dieksploitasi dalam serangan ini adalah fitur PROGRAM, yang memberikan kemampuan kepada penyerang untuk mengeksekusi perintah secara langsung di dalam server.

Setelah berhasil melakukan brute-force dan mendapatkan akses, langkah selanjutnya yang dilakukan oleh penyerang adalah melakukan pengintaian awal pada sistem yang telah mereka kompromikan. Mereka menjalankan perintah untuk mencabut izin superuser dari pengguna “postgres,” yang bertujuan untuk membatasi hak istimewa pelaku ancaman lain yang mungkin mencoba menggunakan metode serupa untuk mendapatkan akses ke sistem. Ini menunjukkan tingkat kecanggihan dan perencanaan yang matang dalam serangan tersebut.

Pada tahap selanjutnya dari serangan, perintah shell yang dijalankan oleh penyerang digunakan untuk men-download dua muatan dari server jarak jauh dengan alamat IP "128.199.77[.]96". Dua muatan tersebut adalah PG_MEM dan PG_CORE, yang dirancang untuk menghentikan proses yang bersaing, seperti Kinsing, serta menyiapkan persistensi pada host. Setelah itu, penyerang dapat melanjutkan aktivitas utama mereka, yaitu menambang mata uang kripto Monero.

Penyerang memanfaatkan perintah PostgreSQL yang disebut COPY, yang memungkinkan penyalinan data antara file dan tabel basis data. Dengan menggunakan parameter yang dikenal sebagai PROGRAM, server database diperintahkan untuk menjalankan perintah tertentu dan hasilnya dapat disimpan dalam tabel. Ini memberikan kendali penuh kepada penyerang untuk melakukan apa pun yang mereka inginkan pada sistem yang telah mereka akses.

Meskipun tujuan utama dari serangan ini adalah untuk menambang mata uang kripto, ancaman yang ditimbulkan jauh lebih besar. Penyerang tidak hanya dapat mengeksekusi perintah tetapi juga dapat mengakses data, memodifikasi informasi, dan mengontrol server secara penuh. Menurut Morag, kampanye ini memanfaatkan PostgreSQL yang terhubung ke internet dengan kata sandi yang lemah. Ia menambahkan bahwa banyak organisasi menghubungkan basis data mereka ke internet tanpa mengadopsi langkah-langkah keamanan yang memadai, sehingga membuka celah bagi penyerang untuk memanfaatkan kesalahan konfigurasi dan kurangnya kontrol identitas yang tepat.

Dalam era digital saat ini, ancaman semacam ini menjadi semakin nyata dan mengkhawatirkan. Organisasi di seluruh dunia diimbau untuk meningkatkan keamanan siber mereka, terutama dalam mengelola sistem database yang sensitif. Memperkuat kata sandi, memperbarui konfigurasi keamanan, dan mengadopsi praktik terbaik dalam pengelolaan identitas adalah langkah penting yang harus diambil untuk mencegah serangan semacam ini. Keberhasilan penyerang dalam mengeksploitasi kelemahan seperti yang terjadi pada PostgreSQL menunjukkan betapa pentingnya bagi perusahaan untuk selalu waspada dan siap dalam menghadapi ancaman siber yang terus berkembang.