UnityMiner Malware
De UnityMiner Malware wordt gebruikt om de bronnen van QNAP-opslagapparaten te kapen en vervolgens te delven voor Monero-munten. De UnityMiner Malware is een cryptominer op basis van de open source-dreiging XMRig, die populair is onder cybercriminelen. UnityMiner is uitgerust met verschillende functies die zijn ontworpen om de activiteit van de malwarebedreiging zo lang mogelijk te maskeren. In plaats van alle beschikbare kernen in beslag te nemen, neemt UnityMiner slechts de helft ervan over. Het zal ook knoeien met de gerapporteerde gegevens over het gebruik van CPU-geheugenbronnen om het abnormale systeemgedrag te verbergen als de gebruiker het systeemgebruik controleert via de QNAP-webbeheerinterface. Het crypto-wallet-adres waar de gedolven Monero-munten naartoe worden gestuurd, is verborgen achter drie poolproxy's.
De structuur van UnityMiner Malware op het gecompromitteerde apparaat bestaat uit Unity_install.sh en Quick.tar.gz. Tot dusver zijn er twee versies van de dreiging ontdekt: een voor ARM64 en de andere ontworpen om te werken op AMD64-systemen. De juiste versie wordt geïmplementeerd na het uitvoeren van een controle van de CPU-architectuur van het systeem.
Terwijl de meeste cryptomining-bedreigingen afhankelijk zijn van brute-force-aanvallen en verzamelde inloggegevens om hun doelen te infecteren, maakt de campagne die UnityMiner inzet gebruik van twee kwetsbaarheden in QNAP's Network-Attached Storage (NAS) -apparaten. De specifieke kwetsbaarheden worden geïdentificeerd en, volgens QNAP, kunnen ze worden gebruikt om externe code-uitvoeringsmogelijkheden te verkrijgen door een combinatie van onjuiste toegangscontrole en een kwetsbaarheid voor het injecteren van de opdrachtregel.
De kritieke kwetsbaarheden die worden gebruikt in de UnityMiner Malware-aanvalscampagne zijn openbaar gemaakt in een beveiligingskwetsbaarheid die op 7 oktober 2020 is uitgebracht, en ze kunnen alleen van invloed zijn op apparaten die oudere firmwareversies gebruiken. Toch laten schattingen zien dat potentieel honderdduizenden QNAP NAS-apparaten ongepatcht blijven en mogelijk kunnen worden geschonden. QNAP heeft een nieuw nieuwsartikel over productbeveiliging uitgebracht waarin het gebruikers aanspoort om hun apparaten bij te werken.
