• 發布單位:TWCERT/CC
• 更新日期:2020-07-30
• 點閱次數:4300

美國 CISA、英國 NCSC 近日共同發表資安警訊，指出至2020年6月中旬為止，全球約有 62,000 台 QNAP NAS 設備遭到 QSnatch 惡意軟體駭入。

美國資安與基礎設施安全局（Cybersecurity and Infrastructure Securoty Agency, CISA）與英國國家資安中心（National Cyber Security Centre, NCSC）， 近日共同發表資安警訊，指出至2020年6月中旬為止，全球約有高達 62,000 台 QNAP NAS 設備，遭到一個名為 QSnatch 的惡意軟體駭入。

報告中指出，這個惡意軟體的第一波攻擊遠從 2014 年就已啟動，第二波攻擊則起始於2018年末；到今年六月中旬為止的感染台數已經達到 62,000 台。

被感染的 QNAP NAS 約有 7,600 台位於美國境內，約 3,900 台位於英國。

報告說，QSnatch 植入後，會設定一個詐騙的 Web 管理界面登入畫面，竊取登入用的管理帳號和密碼，也會開啟 SSH 後門，並且安裝一個 Webshell，讓駭侵者遠端操控，更會將系統設定檔與 log 檔透過 https 傳回到駭侵者處。

QSnatch入侵後還會竄改系統更新機制，防止取得弱點修補後的更新套件，藉以在系統中持續寄生，導致病毒難以清除；CISA 建議已感染用戶，在更新之前必須完全將裝置重置為出廠預設狀態，再來更新韌體。原廠 QNAP 也提供了避免再次遭到 QSnatch 感染的建議，包括變更管理者密碼、取消 SSH 和 Telnet 服務、關閉連接埠 22、443、80、8080、8081。

QNAP同時也建議使用者安裝或更新Malware Remover套件至最新版本，Malware Remover 套件可對NAS進行掃描確認有無感染QSnatch，若確認感染將會主動將惡意軟體加以清除。