行业新闻与博客

英国和美国政府已发布了另一项联合网络安全警报，这次警告组织注意来自 QNAP 的一系列针对网络附加存储（NAS）设备的恶意软件。

根据 GCHQ 国家网络安全中心（NCSC）和国土部的通知，截至 6月中旬，QSnatch 恶意软件（又名“ Derek”）已感染了全球 62,000 台设备，包括英国的 3900 台和美国的 7600 台。安全部门的网络安全和基础结构安全局（CISA）。

这是两个运动的结果，一个运动于 2014年至 2017年中进行，另一个运动于 2018年底开始。

“尽管目前尚不清楚使用 QSnatch 的恶意网络参与者的身份和目标，但该恶意软件相对复杂，并且网络参与者表现出对操作安全性的意识，”该警报表示。

“尚未确定感染媒介，但是 QSnatch 似乎在感染阶段被注入到设备固件中，随后恶意代码在设备中运行，从而破坏了它。然后，攻击者使用域生成算法（DGA）来建立命令和控制（C2）通道，该通道定期生成用于 C2 通信的多个域名。

QSnatch 显然具有凭据抓取器，SSH 后门，CGI 密码记录器，Web Shell 功能以及能够提取文件的预定列表（包括系统配置和日志文件）的功能。

据说通过修改系统主机的文件以将域名重定向到过时的版本来实现持久性，以防止在 NAS 设备本身上安装更新。

NCSC / CISA 呼吁管理员遵循去年11月QNAP 发布的指南。

一旦设备被感染，攻击者就会知道管理员无法成功运行所需的固件更新。对于组织来说，确保其设备以前没有受到破坏非常重要。

“仍在运行易受攻击版本的组织必须在完成固件升级之前在设备上进行完全出厂重置，以确保设备不会受到攻击。”

在当前的感染中，有 46％的设备位于西欧，而 15％的设备位于北美。

本文由机器译制