6.2萬QNAP NAS感染QSnatch惡意程式 可遠端遙控並盜竊資料

英國和美國的網絡安全部門罕有地聯合發出警告,QNAP 的 NAS 用戶再次面臨惡意程式 QSnatch 的威脅,現時全球已有 62,000 部裝置受到感染,呼籲用戶應盡快對裝置進行韌體 (firmware) 更新。

QSnatch 再次活動
其實 QNAP 的 NAS 並非首次面對 QSnatch 的威脅,早在 2014 至 2017 以及 2018 至 2019 年期間,讓公司的產品也曾經受到 QSnatch 的侵襲,之後雖然不再活動,但英美兩國的發現新版本已經蠢蠢欲動,在今年 6 月全球已經有大約 62,000 台裝置受到感染,並警告所有 QNAP NAS 裝置都有潛在風險,建議用戶盡快更新裝置的韌體。

新版惡意程式加強功能
新版本的 QSnatch 自去年 11 月起開始活動,經過分析後發現惡意程式能夠盜取用戶的登入資料,入侵 NAS 裝置並從 C&C 伺服器接收和加入惡意代碼,結果它的主要功能包括:

  • CGI 密碼記錄,安裝偽裝的裝置管理登入網頁,當用戶登入後便把資料傳到真正的登入網頁。
  • 登入資料收集,收集用戶的登入帳號資料。
  • SSH 後門程式,讓黑客能在裝置執行代碼。
  • 資料外洩,盜取預定的檔案清單,包括系統設定和記錄檔案,經過加密後由 HTTPS 傳送。
  • Webshell 功能,用作遠端存取。

這次 QSnatch 更會妨礙用方進行軟件更新,防止官方較早前推出的惡意程式移除工作執行,所以建試首先把裝置回復到最初的出廠設定,然後再從官方渠道更新至最新版本。

資料來源:Bleeping Computer