•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
  1. Главная
  2. Новости
  3. Угрозы и Риски
  4. ESET Research обнаруживает CDRThief, вредоносную программу, атакующую китайскую VoIP-платформу
ESET Research обнаруживает CDRThief, вредоносную программу, атакующую китайскую VoIP-платформу
10 Сентября 2020

ESET Research обнаруживает CDRThief, вредоносную программу, атакующую китайскую VoIP-платформу

CDRThief-это совершенно новая вредоносная программа Linux, которая нацелена на две VoIP-платформы, используемые двумя китайскими софтсвичами (программными коммутаторами) Linknat VOS2009 и VOS3000, чтобы эксфильтратировать подробные записи вызовов.

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.. 
logo.jpg РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
ESET NOD32 Business Edition 
Решение ESET NOD32 Business Edition разработано для сетей крупных и средних организаций. Решение обеспечивает обнаружение и блокирование вирусов, троянских программ, червей, шпионских программ, рекламного ПО, фишинг-атак, руткитов и других интернет-угроз, представляющих опасность для компаний. Подробнее>>
ESET NOD32 Smart Security Business Edition 
ESET NOD32 Smart Security Business Edition – комплексное бизнес-решение для оперативного детектирования всех типов угроз за счет сочетания интеллектуальных облачных технологий и запатентованного метода эвристического анализа. Подробнее>>
ESET NOD32 Small Business Pack 
ESET NOD32 Small Business Pack – специальное антивирусное решение для небольшой компьютерной сети, обеспечивающее надежную защиту от вредоносных программ и интернет-угроз без лишних затрат. Подробнее>>

Офисный контроль и DLP Safetica

Братислава - Исследователи ESET обнаружили и проанализировали вредоносные программы, нацеленные на программные коммутаторы Voice over IP (VoIP). Эта новая вредоносная программа, получившая название CDRTHIEF от ESET, предназначена для нацеливания на очень специфическую VoIP-платформу, используемую двумя китайскими софтсвичами (программными коммутаторами): Linknat VOS2009 и VOS3000. Софтсвитч-это основной элемент VoIP-сети, который обеспечивает управление вызовами, выставление счетов и управление ими. Эти программные коммутаторы представляют собой программные решения, работающие на стандартных серверах Linux. Совершенно новые вредоносные программы Linux редко встречаются, что делает CDRThief достойным интереса. Основная цель вредоносной программы-эксфильтрация различных частных данных, включая записи детализации вызовов (CDR), из скомпрометированного softswitch.

"Трудно понять конечную цель злоумышленников, которые используют эту вредоносную программу. Однако, поскольку он эксфильтрирует конфиденциальную информацию, включая метаданные вызовов, представляется разумным предположить, что вредоносная программа используется для кибершпионажа. Еще одной возможной целью злоумышленников, использующих эту вредоносную программу, является VoIP-мошенничество. Поскольку злоумышленники получают информацию о деятельности VoIP-софтсвитчей и их шлюзов, эта информация может быть использована для совершения мошенничества с Международной долей дохода”, - говорит исследователь ESET Антон Черепанов, обнаруживший CDRThief. "CDRs содержат метаданные о VoIP-вызовах, такие как вызывающий абонент и IP-адреса получателей вызовов, время начала вызова, продолжительность вызова, плата за вызов и другую информацию”, - добавляет он.

Чтобы украсть эти метаданные, вредоносная программа запрашивает внутренние базы данных MySQL, используемые softswitch. Таким образом, злоумышленники демонстрируют твердое понимание внутренней архитектуры целевой платформы:

“мы заметили эту вредоносную программу в одном из наших примеров обмена данными, и как совершенно новая вредоносная программа Linux, она является редкостью и привлекла наше внимание. Что было еще более интересно, так это то, что быстро стало очевидно, что эта вредоносная программа нацелена на конкретную платформу Linux VoIP”, - объясняет Черепанов.

Чтобы скрыть вредоносную функциональность от базового статического анализа, авторы зашифровали все подозрительные строки. Интересно, что пароль от конфигурационного файла хранится в зашифрованном виде. Несмотря на это, вредоносная программа Linux/CDRThief все еще способна читать и расшифровывать ее. Таким образом, злоумышленники демонстрируют глубокое знание целевой платформы, поскольку используемый алгоритм и ключи шифрования не документированы. Кроме того, только авторы вредоносных программ или операторы могут расшифровать любые эксфильтрированные данные.

"Вредоносная программа может быть развернута в любом месте на диске под любым именем файла. Неизвестно, какой тип персистентности используется для запуска вредоносного ПО. Однако следует отметить, что как только вредоносная программа запускается, она пытается запустить законный файл, присутствующий на платформе Linknat. Это говорит о том, что вредоносный двоичный файл может быть каким-то образом вставлен в обычную загрузочную цепочку платформы для достижения персистентности и, возможно, маскироваться под компонент программного обеспечения Linknat softswitch”, - заключает Черепанов.
Материал подготовлен  Eset NOD32 

Купить ESET NOD32 Business Edition

logo.jpg ССЫЛКА ПО ТЕМЕ: Каталог программного обеспечения ESET NOD32 для бизнеса 
Переход в он-лайн магазин Датасиcтем - официального Поставщика Eset Nod32 в Российской Федерации. Перейти на сайт Поставщика>>

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Теги:
Новости
Все публикации
Важное
Пришлите готовый запрос на E-mail
или заполните форму
Отправить запрос
Тренды

Популярное

ESET выпускает свой отчет об угрозах за 4 квартал 2020 года в котором фиксируется массовый рост попыток атак RDP с 1 квартала
08.02.2021

ESET выпускает свой отчет об угрозах за 4 квартал 2020 года в котором фиксируется массовый рост попыток атак RDP с 1 квартала

В качестве заключительного отчета об угрозе 2020 года он также поставляется с комментариями о более широких тенденциях, наблюдаемых в течение года, а также прогнозах на 2021 год по исследованию и обнаружению вредоносных программ ESET...

«Лаборатория Касперского»: Lazarus атакует оборонные предприятия по всему миру
21.02.2021

«Лаборатория Касперского»: Lazarus атакует оборонные предприятия по всему миру

В середине 2020 года эксперты «Лаборатории Касперского» обнаружили новую вредоносную кампанию APT-группы Lazarus. Злоумышленники расширили своё портфолио атаками на оборонную промышленность, в которых они использовали вредоносное ПО ThreatNeedle, относящееся к кластеру Manuscrypt.

Kaspersky CyberTrace: новая платформа для работы с потоками данных об угрозах
25.02.2021

Kaspersky CyberTrace: новая платформа для работы с потоками данных об угрозах

«Лаборатория Касперского» представила комплексную платформу Kaspersky CyberTrace, которая позволяет поддерживать полный цикл работ со сведениями об угрозах (Threat Intelligence). Решение даёт возможность выявлять индикаторы компрометации в инфраструктуре организации, проводить всесторонний анализ и приоритизировать обнаруженные киберинциденты, определять наиболее эффективную стратегию реагирования на них, а также обмениваться сведениями о выявленных угрозах с доверенными организациями (например CERT или партнёрами).

Комплекс Kaspersky Antidrone успешно прошел испытание на Челябинском трубопрокатном заводе
16.02.2021

Комплекс Kaspersky Antidrone успешно прошел испытание на Челябинском трубопрокатном заводе

Система противодействия гражданским беспилотникам Kaspersky Antidrone была впервые опробована на одном из крупнейших промышленных объектов Челябинской области — Челябинском трубопрокатном заводе (входит в Группу ЧТПЗ). Целью пилотного запуска стала проверка программно-аппаратного комплекса в условиях критической инфраструктуры и отработка возможных сценариев защиты от атак беспилотников на крупнейшем в России предприятии металлургической отрасли.

Академия рекрутмента: запускаем стажировку для начинающих HR-специалистов
11.02.2021

Академия рекрутмента: запускаем стажировку для начинающих HR-специалистов

«Лаборатория Касперского» открывает набор на оплачиваемую стажировку для студентов и молодых специалистов, которые хотят начать карьеру в рекрутменте в крупной международной IT-компании.

MindManager® Windows 21. Улучшенные возможности визуализации для трансформации данных в эффектные и практичные диаграммы.
28.09.2020

MindManager® Windows 21. Улучшенные возможности визуализации для трансформации данных в эффектные и практичные диаграммы.

Расширен пакет продуктов MindManager: новое приложение для Microsoft Teams поддерживает деловое сотрудничество и визуализацию рабочих процессов.

Выпуск Parallels Desktop для Chromebook Enterprise.
28.10.2020

Выпуск Parallels Desktop для Chromebook Enterprise.

Состоялся выпуск первого в мире ПО для запуска Windows на Chromebook: Parallels Desktop для Chromebook Enterprise

Профессиональное обучение CorelDRAW: выгодное предложение для корпоративных пользователей
17.02.2021

Профессиональное обучение CorelDRAW: выгодное предложение для корпоративных пользователей

Москва, 16 февраля 2021 г. В период с 15 февраля по 31 августа 2021 года компания Corel совместно со школой графического дизайна Льва Полунина предоставляют крупным заказчикам право на дополнительное обучение на выгодных условиях

Adobe сообщает о рекордных доходах за 4 квартал и 2020 финансовый год
10.12.2020

Adobe сообщает о рекордных доходах за 4 квартал и 2020 финансовый год

Компания генерирует рекордные операционные денежные потоки в 1,8 миллиарда долларов в течение 4 кв. ARR цифровых медиа превышает 10 миллиардов долларов.

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.