QNAP製NASを狙うマルウェアに警戒を - 世界で約6.2万台が感染

2回にわたる攻撃キャンペーンが観測されており、1回目の感染活動は2014年前半に開始され2017年中ごろまで継続。一時収束したかのように見えたが、2018年後半より第2波となるキャンペーンが展開され、2019年後半まで続いた。

攻撃者は特定されておらず、攻撃の目的や感染経路についても特定されていないが、CISAによるとマルウェアは比較的洗練されていたという。

攻撃者はマルウェアの運用におけるセキュリティを意識しており、感染を持続できるよう、ファイルを改変することでファームウェアをアップデートできなくさせていた。さらに一部サンプルでは、同マルウェアが脆弱性「CVE-2017-7494」にパッチをあてていたことがわかっている。

感染後には偽のログインページを設置して認証情報を詐取。窃取した資格情報、システム構成、ログファイルは、攻撃者の公開鍵で暗号化した上で自動生成されたドメインで稼働する「C＆C」サーバに対して「HTTP」で送信。「SSH」や「ウェブシェル」によるバックドアも設置していた。

いずれのキャンペーンで利用された攻撃インフラも、現在は活動を停止しているが、パッチが適用されていないデバイスでは、引き続き脅威が存在するとしてCISAとNCSCでは警告を発している。

（Security NEXT - 2020/07/28 ）ツイート