دستگاه‌های QNAP، باز هم هدف حملات سایبری

بر اساس گزارشی که شرکت چیهو ۳۶۰ آن را منتشر کرده دستگاه‌های NAS ساخت QNAP هدف حملات موسوم به Cryptojacking قرار گرفته‌اند. در جریان این حملات، مهاجمان بدافزاری را بر روی دستگاه هک‌شده اجرا می‌کنند که امکان استخراج ارز رمز را با استفاده از منابع دستگاه برای آنها فراهم می‌کند.

چیهو ۳۶۰، بدافزار استفاده شده در این حملات را UnityMiner نامگذاری کرده است.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده چکیده‌ای از گزارش چیهو ۳۶۰ ارائه شده است.

در حملات مذکور از دو آسیب‌پذیری RCE (اجرای فرمان به‌صورت از راه دور) به شناسه‌های CVE-2020-2506 و CVE-2020-2507 برای هک دستگاه QNAP بهره گرفته می‌شود. این در حالی است که اصلاحیه این دو آسیب‌پذیری از ماه‌ها قبل در دسترس قرار داشته است.

در گزارش چیهو ۳۶۰ اشاره شده که مهاجمان با مخفی‌سازی پروسه و اطلاعات واقعی میزان استفاده از CPU، عملاً فعالیت‌های غیرعادی دستگاه را از دید کاربران در هنگام استفاده از رابط کاربری مخفی می ماند.

تمامی دستگاه‌های QNAP که تاریخ انتشار فرم‌ور آنها به پیش از آگوست 2020 باز می‌گردد نسبت به این حملات آسیب‌پذیر گزارش شده‌اند. لذا اطمینان از آسیب‌پذیر نبودن نسخه فرم‌ور تجهیزات NAS ساخت QNAP به تمامی راهبران توصیه می‌شود.

تعداد دستگاه‌های آسیب‌پذیر قابل دسترس بر روی اینترنت بیش از 4 میلیون عدد تخمین زده شده است.

در سال‌های اخیر تجهیزات NAS ساخت شرکت QNAP به کرات هدف حملات سایبری از جمله حملات باج‌افزاری قرار گرفته‌اند.

مشروح گزارش چیهو ۳۶۰ در لینک زیر قابل دریافت و مطالعه است:

https://blog.netlab.360.com/qnap-nas-users-make-sure-you-check-your-system/

نشانه‌های آلودگی (IoC)

IP:

210.201.136.170 | Taiwan | ASN9311 | HITRON TECHNOLOGY INC.

Miner Proxy:

aquamangts.tk:12933

a.aquamangts.tk:12933

b.aquamangts.tk:12933

URL:

http://c.aquamangts.tk:8080/QFS/install/unity_install.sh

http://c.aquamangts.tk:8080/QFS/arm64/Quick.tar.gz

http://c.aquamangts.tk:8080/QFS/amd64/Quick.tar.gz

MD5:

0f40086c9e96c9c11232a9175b26c644

1eb01a23a122d077540f83b005abdbfc

97015323b4fd840a40a9d40d2ad4e7af