포스팅 내용

국내외 보안동향

CISA, QNAP NAS 기기 62,000대가 QSnatch 악성코드에 감염되었다고 밝혀

CISA says 62,000 QNAP NAS devices have been infected with the QSnatch malware


영국과 미국의 사이버 보안 기관이 QSnatch에 대한 공동 보안 경고를 발표했습니다.


QSnatch는 대만 제조 업체인 QNAP의 NAS(Network-attached storage) 기기 제품을 감염시키는 악성코드 변종입니다.

 


<이미지 출처: Peter Kruse>



미국의 사이버 보안 및 인프라 보안국(CISA)과 영국의 국가 사이버 보안 센터(NCSC)에서 발행한 경고문 [1, 2]에 따르면, QSnatch는 2014년부터 발견되었지만 작년부터 공격이 증가하여 감염된 기기 수가 2019년 10월 7,000대에서 2020년 6월 중순 62,000대까지 증가했습니다.


CISA와 NSCS는 감염된 기기 중 약 7,600대는 미국에, 약 3,900대는 영국에 위치하고 있다고 밝혔습니다.

 


<이미지 출처: https://us-cert.cisa.gov/ncas/alerts/aa20-209a>



이 두 기관은 아래와 같이 밝혔습니다.


“첫 번째 캠페인은 2014년 시작되어 2017년 중반까지 지속된 것으로 보이며, 두 번째 캠페인은 2018년 말에 시작되어 2019년 말에도 여전히 진행 중인 것으로 보입니다.”



QSnatch 악성코드, 데이터 유출 기능 포함


CISA와 NCSC는 이 두 캠페인이 QSnatch 악성코드의(Derek이라고도 추적됨) 서로 다른 버전을 사용했다고 밝혔습니다.


이 공동 경고는 최근 캠페인에서 사용된 최신 버전을 집중적으로 다르고 있습니다.


연구원들에 따르면 이 새로운 QSnatch 버전은 아래와 같이 개선된 광범위한 기능 세트를 포함하고 있습니다.



CGI 패스워드 로거 – 기기 관리자 로그인 페이지의 가짜 버전을 설치하고, 인증이 성공할 경우 이를 기록하여 정식 로그인 페이지로 전달합니다.

크리덴셜 스크레이퍼(Credential Scraper)

SSH 백도어 – 공격자가 기기에서 임의 코드를 실행할 수 있도록 허용합니다.

유출 – QSnatch는 실행 중일 때 시스템 구성 및 로그 파일을 포함한 선 정의된 파일 목록을 훔칩니다. 공격자의 퍼블릭 키를 이용하여 암호화되며 HTTPS를 통해 그들의 인프라로 전송됩니다.

원격 접속을 위한 Webshell 기능



CISA와 NCSC 전문가들은 QSnatch 악성코드의 현재 버전을 분석했지만 이 악성코드가 초기에 기기를 어떻게 감염시키는지는 알아낼 수 없었다고 밝혔습니다.


공격자들이 QNAP 펌웨어의 취약점을 악용하거나 관리자 계정의 기본 패스워드를 사용했을 가능성은 있지만 아직까지 확인되지는 않았습니다.


CISA와 NSCS는 일단 공격자들이 공격 발판을 마련하면 펌웨어에 QSnatch 악성코드가 주입되며 기기 전체를 제어하고 해당 NAS 기기에서 계속해서 살아남기 위해 향후 펌웨어 업데이트를 차단한다고 밝혔습니다.


이들은 기업들에 QNAP NAS 기기를 패치할 것을 권고했습니다.


전문가들에 따르면 두 번째 캠페인에 사용된 QSnatch 그룹의 서버 인프라는 이미 다운된 상태이지만 QSnatch 감염은 인터넷이나 감염된 기기에 여전히 활성화된 상태로 남아있다고 밝혔습니다.


이 두 기관은 QNAP 기기를 사용하는 기업 및 개인 사용자에 QSnatch를 제거하고 향후 감염을 막기 위해 QNAP의 지원 페이지에 공개된 치료 및 완화 단계를 따를 것을 권장했습니다.


이 악성코드를 제거하는데 실패할 경우 공격자가 회사 네트워크에 백도어를 설치하여 NAS 기기에 직접 접근할 수 있게 됩니다.


현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Linux.QSnatch'으로 탐지 중에 있습니다.





출처:

https://www.zdnet.com/article/cisa-says-62000-qnap-nas-devices-have-been-infected-with-the-qsnatch-malware/

티스토리 방명록 작성
name password homepage