美國網路安全局 CISA 與英國國家網路安全中心 NCSC  27日發佈研究報告，指出 QNAP 爆發 QSnatch 惡意程式攻擊，至今已近 6.2 萬台 QNAP NAS 到感染，雖然 QNAP 已經釋出更新程式，但該惡意程式會修改系統主機的檔案，讓 QNAP NAS 無法獲得更新，CISA、NCSC 建議必須先進行完整的回復出廠設定，再來升級韌體。

據英、美政府的研究報告，直至 2020 年 6 月全球有將近 6.2 萬 QNAP 裝置感染，QSnatch 惡意程式透過 DGA 網域產生演算法定期生不同網域名，並建立 C&C 伺服器連線送出 HTTP 封包，將使用者的帳戶及密碼、系統設定檔或 log 檔內的重要資料，加密傳給 C&C 伺服器，同時會開啟 SSH 後門，植入 web shell 供駭客遠端存取。

CISA 與 NCSC 已經研究多月後，仍未查出 QSnatch 惡意程式的背後組織及最終目的，更查不出它是如何入侵 QNAP NAS 裝置，是透過舊版韌體漏洞還是破解管理員密碼，目前只能確定 QSnatch 背後的黑客能力相當高。

更重要的是，研究人員認為 QSnatch 具備持續攻擊的能力，儘管 QNAP 已經釋出更新程式，但 QSnatch 會修改系統檔案，將 NAS 更新使用的核心網域名修改，讓中招的 QNAP NAS 無法獲得更新。

CISA 和 NCSC 專家建議，所有曾經感染 QSnatch 的 QNAP NAS 裝置，必須先進行完整的回復出廠設定，再來升級韌體，以避免 QSnatch 仍潛藏系統之中。

美國 CISA 安全風險公告︰

https://us-cert.cisa.gov/ncas/alerts/aa20-209a

英國 NCSC 安全風險公告︰

https://www.ncsc.gov.uk/news/legacy-risk-malware-targeting-qnap-nas-devices