StealthWorker 봇넷, 랜섬웨어를 배포하기 위해 Synology NAS 기기 노려

 

 

StealthWorker botnet targets Synology NAS devices to drop ransomware

 

대만의 공급업체인 Synology가 StealthWorker 봇넷이 브루트포스 공격을 실행하고 있다고 고객에 경고했습니다.

 

공격자가 일단 기기를 해킹하면, Synology NAS를 포함하여 리눅스 시스템을 노리는 공격에 사용되는 봇넷에 이를 추가시켰습니다.

 

Synology에서는 보안 권고를 발행해 아래와 같이 밝혔습니다.

 

“Synology의 보안 사고 대응 팀은 최근 Synology 기기에 대한 브루트포싱 공격이 증가하는 것을 발견했습니다. Synology의 보안 연구원들은 'StealthWorker'라는 악성코드 패밀리에서 이 봇넷을 운영하는 것으로 추측합니다. 아직까지 이 악성코드가 소프트웨어 취약점을 악용했다는 증거는 찾을 수 없었습니다. 이 공격은 이미 감염된 여러 기기를 활용해 관리자 자격 증명을 추측하려 시도하고, 성공할 경우 랜섬웨어를 포함한 악성 페이로드를 시스템에 설치하기 위해 접근합니다.”

 

업체는 관련 CERT에 발견된 사항을 제보하고, C2 인프라를 무너뜨리기 위해 협력하고 있습니다. 또한 Synology는 영향을 받은 고객에게도 이 사실을 알렸습니다.

 

회사는 고객에게 가능할 경우 다단계 인증과 자동 차단 및 계정 보호를 활성화하고, 문자열로 된 관리자 자격 증명을 사용할 것을 촉구했습니다.

 

만약 기기에서 의심스러운 활동을 발견할 경우, 시스템 관리자는 이를 Synology 기술 지원에 반드시 알려야 합니다.

 

Stealthworker 봇넷은 2020년 6월 Akamai 연구원이 처음으로 발견했습니다. 이 봇은 Golang으로 작성된 악성코드이며 cPanel/WHM, WordPress, Drupal, Joomla, OpenCart, Magento, MySQL, PostgreSQL, Brixt, SSH, FTP를 포함한 인기 있는 웹 서비스 및 플랫폼을 실행하는 윈도우 및 리눅스 서버를 노립니다.

 

Stealthworker의 배후에 있는 공격자는 감염된 호스트를 통해 다른 시스템에 대한 브루트포싱 공격을 실행합니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/120962/malware/synology-nas-devices-ransomware.html

https://www.synology.com/en-global/company/news/article/BruteForce/Synology%C2%AE%20Investigates%20Ongoing%20Brute-Force%20Attacks%20From%20Botnet