UnityMiner Malware

UnityMiner Malware bruges til at kapre ressourcerne på QNAP-lagerenheder og derefter mine til Monero-mønter. UnityMiner Malware er en kryptominer, der er baseret på XMRig open source-trussel, som er populær blandt cyberkriminelle. UnityMiner er udstyret med flere funktioner designet til at skjule aktiviteten af malware-truslen så længe som muligt. I stedet for at svine alle de tilgængelige kerner, overtager UnityMiner kun halvdelen af dem. Det vil også manipulere med de rapporterede data om CPU-hukommelsesressourceforbrug for at skjule den unormale systemadfærd, hvis brugeren kontrollerer systemforbruget via QNAP Web Management Interface. Krypto-tegnebog-adressen, hvor de udvindede Monero-mønter sendes, er skjult bag tre pool-proxyer.

Strukturen af UnityMiner Malware på den kompromitterede enhed består af unity_install.sh og Quick.tar.gz. Indtil videre er to versioner af truslen blevet opdaget - den ene til ARM64 og den anden designet til at arbejde på AMD64-systemer. Til den rigtige version indsættes efter kontrol af systemets CPU-arkitektur.

Mens de fleste kryptominingstrusler er afhængige af brute-force-angreb og indsamlet legitimationsoplysninger for at inficere deres mål, udnytter kampagnen, der implementerer UnityMiner, to sårbarheder i QNAPs netværksbundne lagringsenheder (NAS). De specifikke sårbarheder identificeres, og ifølge QNAP kan de bruges til at opnå ekstern kodeudførelsesfunktioner gennem en kombination af forkert adgangskontrol og en sårbarhed ved injektion af kommandolinjen.

De kritiske sårbarheder, der blev brugt i UnityMiner-angrebskampagnen, blev offentliggjort i en sikkerhedssårbarhed, der blev frigivet den 7. oktober 2020, og de kan kun påvirke enheder, der bruger ældre firmwareversioner. Skøn viser stadig, at potentielt hundreder af tusinder af QNAP NAS-enheder forbliver upatchede og potentielt kan blive overtrådt. QNAP har udgivet en ny produktnyhedsartikel, hvor den opfordrer brugerne til at opdatere deres enheder.