网络附加存储(Network-Attach Storage,NAS)厂商群晖科技(Synology)于8月4日发出公告,警告一只名为StealthWorker的僵尸网络程序,正在对其客户NAS系统发动攻击。
群晖科技的产品安全回应部门侦测及接获用户通报,其产品近来被恶意程序暴力破解案例增加,经分析后判断是已知僵尸网络(botnet)程序StealthWorker。
StealthWorker是典型的僵尸网络程序。群晖指出,它利用众多已感染系统为基地,以常见的管理账号密码暴力破解、试图访问受害者公司系统。一旦成功,这只程序会在受害系统上安装进一步恶意程序,其中可能也包含勒索软件。而之后,StealthWorker还会持续以受害系统为据点感染其他Linux设备,包括群晖的NAS系统。
但这家NAS厂商强调没有迹象显示,恶意程序是开采Synology NAS设备上的任何软件漏洞而黑入系统。
Bleeping Computer报道StealWorker是2019年Malwarebytes公司首先发现。它一开始是借由黑入购物车Magento、数据库管理工具phpMyAdmin和后台管理cPanel等软件漏洞,锁定电商平台以植入资料监听工具来窃取信用卡或消费者个人信息,近年则改用暴力破解,攻击对象也转向联网系统。
Windows和Linux都是StealthWorker攻击目标,不过不清楚群晖科技发现的是否为专门锁定Linux平台的StealthWorker变种。
群晖安全团队已经和相关网络危机处理单位合作,正在找出并关闭已知StealthWorker背后的C&C服务器。该公司也已同步通知可能受影响的客户。
群晖科技强烈建议所有Synology产品系统管理员,查看所有系统是否有管理密码太弱的问题,启动系统上的“自动防堵”功能,封锁多次登录失败的IP连接,并采取账号防护措施,可以的话最好设置多因素验证。而发现任何可疑活动者,也应立即寻求建议。