UnityMiner Malware
UnityMiner Malware viene utilizzato per dirottare le risorse dei dispositivi di archiviazione QNAP e quindi estrarre monete Monero. UnityMiner Malware è un crypto-miner basato sulla minaccia open source XMRig, popolare tra i criminali informatici. UnityMiner è dotato di diverse funzionalità progettate per mascherare l'attività della minaccia malware il più a lungo possibile. Invece di monopolizzare tutti i core disponibili, UnityMiner ne acquisirà solo la metà. Inoltre, manometterà i dati di utilizzo delle risorse di memoria della CPU segnalati per nascondere il comportamento anomalo del sistema se l'utente controlla l'utilizzo del sistema tramite l'interfaccia di gestione Web di QNAP. L'indirizzo del cripto-wallet a cui vengono inviate le monete Monero estratte è nascosto dietro tre proxy pool.
La struttura di UnityMiner Malware sul dispositivo compromesso è composta da unity_install.sh e Quick.tar.gz. Finora sono state scoperte due versioni della minaccia: una per ARM64 e l'altra progettata per funzionare su sistemi AMD64. Alla versione appropriata viene distribuito dopo aver eseguito un controllo dell'architettura della CPU del sistema.
Mentre la maggior parte delle minacce di cripto-mining si basa su attacchi di forza bruta e credenziali raccolte per infettare i propri obiettivi, la campagna che distribuisce UnityMiner sfrutta due vulnerabilità nei dispositivi NAS (Network Attached Storage) di QNAP. Le vulnerabilità specifiche vengono identificate e, secondo QNAP, possono essere utilizzate per ottenere capacità di esecuzione di codice in modalità remota attraverso una combinazione di controlli di accesso impropri e una vulnerabilità di iniezione da riga di comando.
Le vulnerabilità critiche utilizzate nella campagna di attacco UnityMiner Malware sono state rese pubbliche in una vulnerabilità di sicurezza rilasciata il 7 ottobre 2020 e possono interessare solo i dispositivi che utilizzano versioni firmware precedenti. Tuttavia, le stime mostrano che potenzialmente centinaia di migliaia di dispositivi QNAP NAS rimangono privi di patch e possono essere potenzialmente violati. QNAP ha rilasciato un nuovo articolo di notizie sulla sicurezza del prodotto in cui esorta gli utenti ad aggiornare i propri dispositivi.
