QSnatch
QSnatchと呼ばれるマルウェアの脅威は、台湾に本拠を置くQNAP Systems、Inc.が製造するNAS(Network-Attached Storage)デバイスを標的とすることが知られています。フィンランドのNational Cyber Security Center(NCSC-FI)のマルウェア研究者は、この活動を最初に発見しましたセンターの独自のAutoreporterサービスによって提供される自動レポートの詳細な分析により、リモートのC&C(コマンド&コントロール)サーバーとの通信を確立しようとするQSnatchに感染した多くのストレージデバイスを公開することができました。フィンランドの専門家は当初、MS Windowsに合わせたCaphawマルウェアを扱っていると考えていましたが、C2通信を徹底的に検査した結果、マルウェアの主なターゲットはQNAP NASデバイスであることが明らかになりました。 QNAP Systems、Inc.は、その後、感染したすべてのデバイスからQSnatchを無効化することを目的としたファームウェアアップデートを発行しました。
QSnatch損傷の可能性
研究者は、QSnatchをQNAPのハードウェアに拡散させるために、担当の詐欺師が展開する感染ベクトル(IV)をまだ決定していません。ただし、QSnatchは悪意のあるコードをホストデバイスのファームウェアに直接埋め込み、QNAPのNASに合わせたオペレーティングシステムであるQTSで正当なプロセスとして実行します。実行されると、QSnatchは、おそらく同じサイバー詐欺師によって運用されているリモートC&Cサーバーとの接続を確立しようとします。成功した場合、このような接続により、QSnatchは「HTTP GET https://」を介して感染したデバイスに追加のマルウェアを取得できます。
これが完了すると、QSnatchマルウェアは、侵害されたホストに大きな混乱を引き起こす可能性があります。 QSnatchは、C2サーバーから現在取得されている悪意のあるモジュール(QSnatchのモジュラー容量が原因で発生する可能性が高い)に応じて、以下を実行できる場合があります。
- 悪意のある動作を改ざんする可能性があるため、アプリケーションとファームウェアが更新を適用しないようにします。
- ユーザーがPCにこのプログラムをインストールした場合、QNAP MalwareRemoverアプリケーションを無効にします。
- 攻撃者のC&Cサーバーから新しいマルウェアを持ち込みます。
- アクティブな時間ベースのジョブスケジューラ(cronjobs)とinitファイル(ブートプロセスの一部として必要なプロセスを開始するために実行される初期化スクリプト)の変更。
- 感染したホストに存在するすべてのログイン資格情報とシステム構成ファイルを収集し、それらをオペレーターのC&Cサーバーに転送します。
感染したデバイスからQSnatchを削除する
QSnatchマルウェア攻撃に関する最初の2019年10月25日のレポートに応えて、QNAP Systemsは、QTSコントロールパネルメニューからアクセスできるQTS OS自体のライブファームウェアアップデートを迅速に提供しました。ベンダーは、QTSのApp Centerから入手できるMalware Removerアプリのアップデートも発表しました。 Malware Removerの新しいバージョン(それぞれ3.5.4.2および4.5.4.2)は、感染したデバイスからQSnatchを削除するのに十分なはずですが、ユーザーは再感染を防ぐために既に侵害されたログイン資格情報も変更する必要があります。最後に重要なことですが、QNAPは、NASデバイスのネットワークセキュリティをより高いレベルにするために、QTS Security Counselorアプリ(QTS App Centerにもあります)をインストールするよう顧客に促しています。
上記の手順に加えて、NASユーザーは、デバイスを将来の攻撃から保護するために、以下を含むがこれらに限定されないいくつかのアクションに頼ることができます。
- デフォルトのポート番号を避けてステアリング-8080 / 81、443、80、および22
- ブルートフォース攻撃に対するIP保護の有効化
- 非アクティブなアカウント、疑わしいアプリ、および未使用のアプリ/サービス(Webサーバー、SQLサーバー、SSH、Telnetなど)を削除する
上記で概説した対策の実装方法に関する追加のガイダンスは、QSnatch Malware専用のQNAPシステムのセキュリティアドバイザリに記載されています。