UnityMiner Malware
UnityMiner Malware se utiliza para secuestrar los recursos de los dispositivos de almacenamiento de QNAP y luego extraer monedas de Monero. UnityMiner Malware es un cripto-minero basado en la amenaza de código abierto XMRig, que es popular entre los ciberdelincuentes. UnityMiner está equipado con varias funciones diseñadas para enmascarar la actividad de la amenaza de malware durante el mayor tiempo posible. En lugar de acaparar todos los núcleos disponibles, UnityMiner se hará cargo de solo la mitad de ellos. También manipulará los datos de uso de recursos de memoria de la CPU informados para ocultar el comportamiento anormal del sistema si el usuario verifica el uso del sistema a través de la interfaz de administración web de QNAP. La dirección de la billetera criptográfica a la que se envían las monedas de Monero extraídas está oculta detrás de tres proxies de grupo.
La estructura de UnityMiner Malware en el dispositivo comprometido consta de unity_install.sh y Quick.tar.gz. Hasta ahora, se han descubierto dos versiones de la amenaza: una para ARM64 y la otra diseñada para funcionar en sistemas AMD64. La versión adecuada se implementa después de realizar una verificación de la arquitectura de la CPU del sistema.
Si bien la mayoría de las amenazas de minería criptográfica se basan en ataques de fuerza bruta y credenciales recopiladas para infectar sus objetivos, la campaña que implementa UnityMiner explota dos vulnerabilidades en los dispositivos de almacenamiento conectados a la red (NAS) de QNAP. Se identifican las vulnerabilidades específicas y, según QNAP, se pueden usar para obtener capacidades de ejecución remota de código a través de una combinación de controles de acceso incorrectos y una vulnerabilidad de inyección de línea de comandos.
Las vulnerabilidades críticas utilizadas en la campaña de ataque UnityMiner Malware se hicieron públicas en una vulnerabilidad de seguridad lanzada el 7 de octubre de 2020, y pueden afectar solo a los dispositivos que usan versiones de firmware más antiguas. Aún así, las estimaciones muestran que potencialmente cientos de miles de dispositivos NAS de QNAP permanecen sin parchear y pueden potencialmente ser vulnerados. QNAP ha publicado un nuevo artículo de noticias sobre seguridad de productos en el que insta a los usuarios a actualizar sus dispositivos.
