Tin tức và phân tích của tất cả các thiết bị di động

QNAP cảnh báo người dùng bảo mật thiết bị chống lại phần mềm độc hại QSnatch

QNAP cảnh báo người dùng bảo mật thiết bị chống lại phần mềm độc hại QSnatch

Nhà sản xuất lưu trữ gắn mạng (NAS) QNAP kêu gọi khách hàng bảo mật các thiết bị NAS của họ trước một chiến dịch độc hại đang diễn ra, lây nhiễm cho họ phần mềm độc hại QSnatch có khả năng đánh cắp thông tin đăng nhập của người dùng.

QNAP khuyên người dùng nên cài đặt phiên bản mới nhất của ứng dụng Phần mềm độc hại cho hệ điều hành QTS chạy trên thiết bị NAS của công ty càng sớm càng tốt.

Phần mềm độc hại 3.5.4.0 và 4.5.4.0 các phiên bản hiện có khả năng loại bỏ QSnatch sau khi các quy tắc mới được thêm vào bởi công ty đã cập nhật nó vào tháng 11 1.

"Người dùng được khuyến khích cài đặt phiên bản mới nhất của ứng dụng Phần mềm độc hại từ Trung tâm ứng dụng QTS hoặc bằng cách tải xuống thủ công từ trang web QNAP, " nói QNAP.

"Người dùng nên thực hiện các hành động được liệt kê trong tư vấn bảo mật hoặc, thay vào đó, liên hệ với QNAP để được hỗ trợ kỹ thuật. Hướng dẫn tạo yêu cầu hỗ trợ có thể được tìm thấy đây. "

Thiết bị NAS QNAP đang bị tấn công

Các nhà nghiên cứu tại Trung tâm an ninh mạng quốc gia Phần Lan (NCSC-FI) đã phát hiện vào cuối tháng 10 rằng hàng ngàn thiết bị NAS QNAP bị nhiễm QSnatch đã bị nhiễm phần mềm độc hại.

Phần mềm độc hại thu hoạch và làm lộ thông tin xác thực người dùng được tìm thấy trên các thiết bị NAS bị xâm nhập và nó cũng có khả năng tải mã độc được lấy từ các máy chủ chỉ huy và kiểm soát (C2) của nó.

Đội ứng phó khẩn cấp máy tính của Đức (CERT-Bund) nói tại thời điểm đó, dựa trên dữ liệu lỗ hổng, xung quanh 7, 000 thiết bị NAS ở Đức đã bị ảnh hưởng bởi nhiễm trùng QSnatch.

NCSC-FI nhận thấy rằng QSnatch được đưa vào phần sụn của các thiết bị NAS QNAP trong giai đoạn lây nhiễm, với mã độc được "chạy như một phần của hoạt động bình thường trong thiết bị."

Sau khi lây nhiễm phần sụn, thiết bị bị xâm nhập và phần mềm độc hại sử dụng "thuật toán tạo miền để lấy thêm mã độc từ máy chủ C2".

Tải trọng mà nó tải xuống từ máy chủ C2 được khởi chạy trên các thiết bị NAS QNAP bị nhiễm có quyền hệ thống và nó sẽ thực hiện các hành động sau:

• Các công việc và tập lệnh theo thời gian của hệ điều hành được sửa đổi (cronjob, init script)
• Cập nhật phần sụn được ngăn chặn hoàn toàn thông qua các nguồn cập nhật ghi đè
• Ứng dụng QNAP MalwareRemover không được chạy
• Tất cả tên người dùng và mật khẩu liên quan đến thiết bị được truy xuất và gửi đến máy chủ C2
• Phần mềm độc hại có khả năng mô-đun để tải các tính năng mới từ các máy chủ C2 cho các hoạt động tiếp theo
• Hoạt động gọi về nhà đến các máy chủ C2 được thiết lập để chạy với các khoảng thời gian đã đặt

Bảo vệ NAS QNAP của bạn

QNAP khuyên người dùng thực hiện các biện pháp sau đây để chống lại nhiễm trùng:

  1. Cập nhật QTS lên phiên bản mới nhất.
  2. Cài đặt và cập nhật Tư vấn bảo mật lên phiên bản mới nhất.
  3. Sử dụng mật khẩu quản trị viên mạnh hơn.
  4. Cho phép bảo vệ quyền truy cập IP và tài khoản để ngăn chặn các cuộc tấn công vũ phu.
  5. Vô hiệu hóa kết nối SSH và Telnet nếu bạn không sử dụng các dịch vụ này.
  6. Tránh sử dụng số cổng mặc định 443 và 8080.

Công ty cũng cung cấp các thủ tục chi tiết từng bước về cách thay đổi mật khẩu thiết bị, để bật bảo vệ quyền truy cập IP và tài khoản, tắt kết nối SSH và Telnet và thay đổi số cổng hệ thống.

Đây không phải là lần đầu tiên các thiết bị NAS của QNAP bị bao vây với công ty phát hành tư vấn bảo mật vào đầu tháng 10 về các thiết bị có mật khẩu máy chủ SQL yếu và chạy phpMyAdmin bị tấn công bởi Muhstik Ransomware.

Khác tham mưu về một chiến dịch Ransomware eCh0raix (còn được gọi là QNAPCrypt) nhắm mục tiêu các thiết bị NAS QNAP với mật khẩu yếu và phần mềm QTS lỗi thời đã được xuất bản vào tháng 8. Một tuần trước đó, chuyên gia ransomware BloodDolly đã phát hành một bộ giải mã eCh0raix cho một số biến thể trong một chủ đề hỗ trợ BleepingComputer.

Vào tháng 5 năm 2018, QNAP cũng đã thông báo cho khách hàng của mình về các cuộc tấn công phần mềm độc hại VPNFilter đang diễn ra cố gắng lây nhiễm các thiết bị NAS bằng mật khẩu tài khoản quản trị viên mặc định hoặc chạy QTS 4.2.6 xây dựng 20170628, 4.3.3 xây dựng 20170703, và các phiên bản trước đó.