หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสหรัฐอเมริกาและโครงสร้างพื้นฐาน (CISA) และศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกแจ้งเตือนเกี่ยวกับการโจมตีด้วยมัลเเวร์ QSnatch ไปยังอุปกรณ์ QNAP NAS หลังพบทวีความรุนเเรงมากขึ้นจากการพบผู้ติดเชื้อจำนวน 7,000 เครื่องในเดือนตุลาคม 2562 ซึ่งปัจุบันนั้นพบว่าได้เพิ่มจำนวนมากขึ้นเป็น 62,000 เครื่องในปัจจุบัน
ในรายงานของ CISA และ NCSC ได้ระบุว่า QSnatch ถูกพบครั้งเเรกในปี 2014 โดยมัลเเวร์ QSnatch พุ่งเป้าไปที่ QNAP NAS โดยปัจจุบัน มิถุนายน 2563 มีอุปกรณ์ติดเชื้อประมาณ 62,000 เครื่องทั่วโลกซึ่งประมาณ 7,600 เครื่องอยู่ในสหรัฐอเมริกาและ 3,900 เครื่องอยู่ในสหราชอาณาจักรและจากการค้นพบล่าสุดพบว่ามัลเเวร์ QSnatch นั้นได้เพิ่มความสามารถดังนี้
- สร้างการเข้าสู่ระบบของผู้ดูแลระบบอุปกรณ์ปลอมและทำการบันทึกข้อมูลหลังจากนั้นจะส่งต่อไปยังหน้าเข้าสู่ระบบที่ถูกต้อง
- การสแกน Credential
- SSH backdoor
- Exfiltration
- Webshell สำหรับการเข้าถึงระยะไกล
ทั้งนี้ CISA และ NCSC ยังไม่พบสาเหตุหรือช่องโหว่ที่มัลเเวร์ QSnatch ใช้ในการระบาด แต่ CISA และ NCSC ได้ระบุว่าเมื่อมัลแวร์ QSnatch เข้ามาสู่ระบบ มัลแวร์จะทำการ Inject เข้าสู่ Firmware เพื่อที่จะสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์และจะทำการบล็อกฟีเจอร์การอัปเดต Firmware เพื่อทำการฝังตัวและเปิดช่องทางให้สามาถกลับเข้ามาใช้ช่องโหว่อีกครั้ง
ทั้งนี้ผู้ที่สนใจสามารถอ่านข้อมูลเพิ่มเติมได้ที่: https://us-cert.cisa.gov/ncas/alerts/aa20-209a
ที่มา: zdnet.com