群暉科技：殭屍網路程式正試圖攻擊NAS用戶

網路附加儲存（Network-Attach Storage，NAS）廠商群暉科技（Synology）於8月4日發出公告，警告一隻名為StealthWorker的殭屍網路程式，正在對其用戶的NAS系統發動攻擊。

群暉科技的產品安全回應部門偵測及接獲用戶通報，其產品近來被惡意程式暴力破解案例增加，經分析後判斷是已知殭屍網路（botnet）程式StealthWorker。

StealthWorker是典型的殭屍網路程式。群暉指出，它利用眾多已感染系統為基地，以常見的管理帳號密碼暴力破解、試圖存取受害者公司系統。一旦成功，這隻程式會在受害系統上安裝進一步惡意程式，其中可能也包含勒索軟體。而之後，StealthWorker還會持續以受害系統為據點感染其他Linux裝置，包括群暉的NAS系統。

但這家NAS廠商強調沒有跡象顯示，惡意程式是開採Synology NAS裝置上的任何軟體漏洞而駭入系統。

Bleeping Computer報導StealWorker是2019年Malwarebytes公司首先發現。它一開始是藉由駭入購物車Magento、資料庫管理工具phpMyAdmin和後臺管理cPanel等軟體漏洞，鎖定電商平臺以植入資料側錄工具來竊取信用卡或消費者個資，近年則改用暴力破解，攻擊對象也轉向連網系統。

Windows和Linux都是StealthWorker攻擊目標，不過不清楚群暉科技發現的是否為專門鎖定Linux 平臺的StealthWorker變種。

群暉安全團隊已經和相關網路危機處理單位合作，正在找出並關閉已知StealthWorker背後的C&C伺服器。該公司也已同步通知可能受影響的用戶。

群暉科技強烈建議所有Synology 產品系統管理員，檢視所有系統是否有管理密碼太弱的問題，啟動系統上的「自動防堵」功能，封鎖多次登入失敗的IP連線，並採取帳號防護措施，可以的話最好設定多因素驗證。而發現任何可疑活動者，也應立即尋求建議。