Logiciel malveillant UnityMiner
Le logiciel malveillant UnityMiner est utilisé pour détourner les ressources des périphériques de stockage QNAP, puis extraire des pièces Monero. Le logiciel malveillant UnityMiner est un crypto-mineur basé sur la menace open source XMRig, qui est populaire parmi les cybercriminels. UnityMiner est équipé de plusieurs fonctionnalités conçues pour masquer le plus longtemps possible l'activité de la menace malveillante. Au lieu de monopoliser tous les cœurs disponibles, UnityMiner n'en reprendra que la moitié. Il altérera également les données d'utilisation des ressources de mémoire du processeur rapportées pour masquer le comportement anormal du système si l'utilisateur vérifie l'utilisation du système via l'interface de gestion Web QNAP. L'adresse du crypto-portefeuille où les pièces Monero extraites sont envoyées est cachée derrière trois proxys de pool.
La structure de UnityMiner Malware sur le périphérique compromis se compose de unity_install.sh et Quick.tar.gz. Jusqu'à présent, deux versions de la menace ont été découvertes: l'une pour ARM64 et l'autre conçue pour fonctionner sur les systèmes AMD64. La version appropriée est déployée après avoir effectué une vérification de l'architecture du processeur du système.
Alors que la plupart des menaces de crypto-minage reposent sur des attaques par force brute et des informations d'identification collectées pour infecter leurs cibles, la campagne de déploiement d'UnityMiner exploite deux vulnérabilités dans les périphériques de stockage en réseau (NAS) de QNAP. Les vulnérabilités spécifiques sont identifiées et, selon QNAP, elles peuvent être utilisées pour obtenir des capacités d'exécution de code à distance grâce à une combinaison de contrôles d'accès inappropriés et d'une vulnérabilité d'injection de ligne de commande.
Les vulnérabilités critiques utilisées dans la campagne d'attaque UnityMiner Malware ont été rendues publiques dans une vulnérabilité de sécurité publiée le 7 octobre 2020, et elles ne peuvent affecter que les appareils utilisant des versions de micrologiciel plus anciennes. Pourtant, les estimations montrent que potentiellement des centaines de milliers de périphériques NAS QNAP restent non corrigés et peuvent potentiellement être violés. QNAP a publié un nouvel article sur la sécurité des produits dans lequel il exhorte les utilisateurs à mettre à jour leurs appareils.
