群晖科技：僵尸网络程式正试图攻击NAS用户

网络附加储存（Network-Attach Storage，NAS）厂商群晖科技（Synology）于8月4日发出公告，警告一只名为StealthWorker的僵尸网络程式，正在对其用户的NAS系统发动攻击。

群晖科技的产品安全回应部门侦测及接获用户通报，其产品近来被恶意程式暴力破解案例增加，经分析后判断是已知僵尸网络（botnet）程式StealthWorker。

StealthWorker是典型的僵尸网络程式。群晖指出，它利用众多已感染系统为基地，以常见的管理账号密码暴力破解、试图存取受害者公司系统。一旦成功，这只程式会在受害系统上安装进一步恶意程式，其中可能也包含勒索软件。而之后，StealthWorker还会持续以受害系统为据点感染其他Linux装置，包括群晖的NAS系统。

但这家NAS厂商强调没有迹象显示，恶意程式是开采Synology NAS装置上的任何软件漏洞而骇入系统。

Bleeping Computer报导StealWorker是2019年Malwarebytes公司首先发现。它一开始是借由骇入购物车Magento、数据库管理工具phpMyAdmin和后台管理cPanel等软件漏洞，锁定电商平台以植入资料侧录工具来窃取信用卡或消费者个资，近年则改用暴力破解，攻击对象也转向连网系统。

Windows和Linux都是StealthWorker攻击目标，不过不清楚群晖科技发现的是否为专门锁定Linux 平台的StealthWorker变种。

群晖安全团队已经和相关网络危机处理单位合作，正在找出并关闭已知StealthWorker背后的C&C服务器。该公司也已同步通知可能受影响的用户。

群晖科技强烈建议所有Synology 产品系统管理员，检视所有系统是否有管理密码太弱的问题，启动系统上的“自动防堵”功能，封锁多次登入失败的IP连线，并采取账号防护措施，可以的话最好设定多因素验证。而发现任何可疑活动者，也应立即寻求建议。