به گزارش کارگروه حملات سایبری سایبربان؛ آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) و مرکز ملی امنیت سایبری انگلیس (NCSC) در گزارشی مشترک نسبت به حملات جدید بدافزار کیواسنچ (QSnatch) هشدار دادند.
بر طبق این گزارش، کیواسنچ بهتازگی کاربران کشورهای اروپای غربی و آمریکای شمالی را هدف قرار داده و اطلاعات 62 هزار دستگاه ذخیرهساز تحت شبکه (NAS) شرکت تایوانی «QNAP» را سرقت کرده است.
کیواسنچ که به «Derek» نیز شناخته میشود ابزارهای ذخیرهساز متصل به شبکهای را که فیرم ویر آنها بهروزرسانی نشده است، هدف قرار میدهد.
چنانچه مالکان دستگاههای ذخیرهساز آخرین نسخههای بهروزرسانی را دریافت نکنند، دستگاهشان همچنان در برابر حملات این بدافزار آسیبپذیر خواهد بود. درصورتیکه مهاجمان ذخیرهسازها را آلوده کنند، مانع از نصب موفقیتآمیز بهروزرسانیهای فیرم ویر توسط ادمین میشوند.
کیواسنچ در حملات جدید خود دستگاه را آلوده کرده و از الگوریتم تولید دامنه برای پیکربندی سرور فرماندهی و کنترل استفاده میکند و سپس با برقراری ارتباط از راه دور با هاستهای آلوده اقدام به سرقت اطلاعات محرمانه میکند.
نسخه جدید این بدافزار قادر است یک نسخه جعلی از صفحه ورود به سیستم ایجاد کرده و کلیه احراز هویتهای موفق آمیز را ثبت کند.
کیواسنچ اقدام به سرقت اعتبارنامهها کرده و با بهرهگیری از در پشتی SSH این امکان را میدهد کدهای دلخواه در دستگاه اجرا کرد.
این بدافزار مجهز به وب شل برای دسترسی از دور بوده و پس از نصب، فهرستی از فایلهای پیکربندی و لاگها را سرقت میکند.
طبق گزارش سیسا، کیواسنچ فعالیتهای خود را از سال 2014 آغاز کرده و تا سال 2017 کاربران زیادی را هدف قرار داده است.
گروه واکنش به رخدادهای رایانهای آلمان نیز در سال 2019 از آلوده شدن 7 هزار دستگاه ذخیرهساز تحت شبکه در آلمان توسط کیواسنچ خبر داده بود.
