Чиза говорит 62,000 устройств NAS от QNAP были инфицированы QSnatch обеспечением

botnet world map


Изображения: Петр Крузе

Агентства кибер-безопасности из Великобритании и США опубликовали сегодня совместное охранного оповещения о QSnatch, штамм вредоносных программ, заражения сетевые накопители (NAS) от тайваньского производителя устройствах QNAP.

В предупреждения [1, 2] США в области кибербезопасности и безопасности инфраструктуры агентства (CISA) и Соединенного Королевства по национальной кибербезопасности Центра (ННКЦ), оба учреждения говорят, что атаки с QSnatch вредоносные программы были прослежены до 2014 года, но атаки усилились за последний год, когда число зарегистрированных случаев выросло с 7000 устройств в октябре 2019 года более 62 000 в середине июня 2020 года.

Из этих, CISA и СНБ сказать, что примерно 7,600 зараженных устройств находятся в США, и около 3,900 в Великобритании.

qsnatch-stats.pngqsnatch-stats.png


Изображения: чиза ННКЦ

«Первая кампания, скорее всего, появились в начале 2014 года и продолжались до середины 2017 года, а второй начался в конце 2018 года и все еще в конце 2019 года,» в двух агентствах говорят.

QSnatch обеспечением возможности эксфильтрации

Чиза и ННКЦ сказать, что две кампании используются разные версии программ QSnatch (также отслеживаются по имени Дерек).

Совместное предупреждение посвящен последней версии, используемые в последних кампании. По данным совместного оповещения, эта новая версия QSnatch поставляется с расширенной и широкий набор функций, который включает в себя функциональные модули, такие как:

  • ЦГИ пароль регистратора — это устанавливает поддельные версии устройства для входа в админ разделе, лесозаготовки успешной проверки подлинности и передачи их законных страницу входа.
  • Учетные данные скребок
  • СШ бэкдор — это позволяет кибер-актер и выполнить произвольный код на устройстве.
  • Эксфильтрация — при запуске QSnatch ворует заданный список файлов, которые включает в себя система конфигурации и лог-файлы. Эти шифруются с помощью открытого ключа актера и отправляется к своей инфраструктуре через HTTPS.
  • Функциональные возможности программы удаленного доступа

Однако, в то время как CISA и специалистов ННКЦ удалось проанализировать текущую версию программы QSnatch, говорят, что одна тайна до сих пор ускользал от них, т. е. как вредоносная программа изначально заражает устройства.

Злоумышленники могли эксплуатировать уязвимости в прошивке компания или они могли бы использовать пароли по умолчанию для учетной записи администратора, однако, ничего этого не могло быть проверены вне всяких сомнений.

Но как только нападавшие закрепиться, CISA и в ННКЦ сказать QSnatch обеспечением впрыскивается в прошивки, откуда он получает полный контроль над устройством, а затем блокирует будущих обновлениях прошивки, чтобы выжить на NAS жертвы.

И ННКЦ чиза побудить компании к патчу устройств NAS от QNAP

В совместном оповещении указано, что инфраструктуры группы QSnatch сервер, который был использован во второй серии нападений теперь вниз, но что инфекции QSnatch по-прежнему остаются активными в интернете, на зараженных устройствах.

Два ведомства сейчас призывают компании и домашние пользователи, которые используют устройствам QNAP для последующей рекультивации и меры по смягчению последствий, перечисленных в разделе Поддержка тайваньского вендора, чтобы избавиться от QSnatch и предотвратить будущие инфекции.

Не в состоянии удалить вредоносные программы приравнивает к позволяет хакерам проникнуть в сети компании и прямой доступ к NAS-устройства, которые используются для хранения резервных копий или конфиденциальных файлов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *