ESET Research обнаруживает CDRThief, вредоносную программу, атакующую китайскую VoIP-платформу
CDRThief-это совершенно новая вредоносная программа Linux, которая нацелена на две VoIP-платформы, используемые двумя китайскими софтсвичами (программными коммутаторами) Linknat VOS2009 и VOS3000, чтобы эксфильтратировать подробные записи вызовов.
Братислава - Исследователи ESET обнаружили и проанализировали вредоносные программы, нацеленные на программные коммутаторы Voice over IP (VoIP). Эта новая вредоносная программа, получившая название CDRTHIEF от ESET, предназначена для нацеливания на очень специфическую VoIP-платформу, используемую двумя китайскими софтсвичами (программными коммутаторами): Linknat VOS2009 и VOS3000. Софтсвитч-это основной элемент VoIP-сети, который обеспечивает управление вызовами, выставление счетов и управление ими. Эти программные коммутаторы представляют собой программные решения, работающие на стандартных серверах Linux. Совершенно новые вредоносные программы Linux редко встречаются, что делает CDRThief достойным интереса. Основная цель вредоносной программы-эксфильтрация различных частных данных, включая записи детализации вызовов (CDR), из скомпрометированного softswitch.
"Трудно понять конечную цель злоумышленников, которые используют эту вредоносную программу. Однако, поскольку он эксфильтрирует конфиденциальную информацию, включая метаданные вызовов, представляется разумным предположить, что вредоносная программа используется для кибершпионажа. Еще одной возможной целью злоумышленников, использующих эту вредоносную программу, является VoIP-мошенничество. Поскольку злоумышленники получают информацию о деятельности VoIP-софтсвитчей и их шлюзов, эта информация может быть использована для совершения мошенничества с Международной долей дохода”, - говорит исследователь ESET Антон Черепанов, обнаруживший CDRThief. "CDRs содержат метаданные о VoIP-вызовах, такие как вызывающий абонент и IP-адреса получателей вызовов, время начала вызова, продолжительность вызова, плата за вызов и другую информацию”, - добавляет он.
Чтобы украсть эти метаданные, вредоносная программа запрашивает внутренние базы данных MySQL, используемые softswitch. Таким образом, злоумышленники демонстрируют твердое понимание внутренней архитектуры целевой платформы:
“мы заметили эту вредоносную программу в одном из наших примеров обмена данными, и как совершенно новая вредоносная программа Linux, она является редкостью и привлекла наше внимание. Что было еще более интересно, так это то, что быстро стало очевидно, что эта вредоносная программа нацелена на конкретную платформу Linux VoIP”, - объясняет Черепанов.
Чтобы скрыть вредоносную функциональность от базового статического анализа, авторы зашифровали все подозрительные строки. Интересно, что пароль от конфигурационного файла хранится в зашифрованном виде. Несмотря на это, вредоносная программа Linux/CDRThief все еще способна читать и расшифровывать ее. Таким образом, злоумышленники демонстрируют глубокое знание целевой платформы, поскольку используемый алгоритм и ключи шифрования не документированы. Кроме того, только авторы вредоносных программ или операторы могут расшифровать любые эксфильтрированные данные.
"Вредоносная программа может быть развернута в любом месте на диске под любым именем файла. Неизвестно, какой тип персистентности используется для запуска вредоносного ПО. Однако следует отметить, что как только вредоносная программа запускается, она пытается запустить законный файл, присутствующий на платформе Linknat. Это говорит о том, что вредоносный двоичный файл может быть каким-то образом вставлен в обычную загрузочную цепочку платформы для достижения персистентности и, возможно, маскироваться под компонент программного обеспечения Linknat softswitch”, - заключает Черепанов.
Российский поставщик интеллектуальных решений на базе искусственного интеллекта для обработки документов Content AI и лидирующая российская консалтинговая фирма в области услуг по управлению документами «ЕСМ-Консалтинг» сообщили о полном техническом согласовании своих ключевых решений: ContentCapture, Content AI Intelligent Search и архивной системы М1:Архив. Синергия этих технологий позволила создать единую непрерывную цепочку операций — начиная от поступления документа и заканчивая быстрым извлечением необходимой информации
Российская организация «Базальт СПО», занимающаяся разработкой операционных систем серии «Альт», подписала договор о партнерстве с Российским университетом дружбы народов (РУДН) в рамках образовательной инициативы «Альт Академия». Основная задача соглашения заключается в подготовке студентов и молодых профессионалов для эффективного использования российских программных решений и продвижении отечественных технологий среди молодого поколения ИТ-специалистов
Российские специалисты по информационным технологиям из группы компаний «КОРУС Консалтинг» и фирмы «Базальт СПО» доказали совместимость своей продукции — платформ no- и low-code для управления корпоративными данными «Авандок» и серверной версии операционной системы «Альт» 11-го поколения. После завершения тестирования стороны подписали специальный документ, подтверждающий взаимную совместимость продуктов
«Доктор Веб» анонсировал значительное обновление серверной части продуктов Dr.Web Enterprise Security Suite и Dr.Web Industrial версии 13.0.1.202511120, которое станет доступным для скачивания начиная с 15 декабря 2025 года. Основное нововведение заключается в расширении функционала модуля «Контроль приложений», позволяющего значительно повысить уровень защиты конечных пользователей.
На факультете вычислительной математики и кибернетики (ВМК) МГУ имени М.В. Ломоносова начала функционировать лаборатория свободного программного обеспечения, созданная при содействии компании «Базальт СПО». Студенты получают возможность реализовывать образовательные и научные проекты, связанные с созданием прикладного и кроссплатформенного программного обеспечения, а также заниматься сборкой образов операционных систем на основе платформы «Альт» для различных нужд.
Группа Arenadata проинформировала о выпуске обновлений для системы управления базами данных Arenadata QuickMarts (ADQM) и дополнительного модуля ADQM Control, которые теперь совместимы с российской операционной системой «Альт СП» (версия 10), разработанной компанией «Базальт СПО». Такое решение принято в рамках общей стратегии адаптации продуктовых предложений под требования современных заказчиков бизнеса.
Компания «Базальт СПО» презентовала свежую версию приложения WineHelper, предназначенную для удобной инсталляции и функционирования программ Windows в операционных системах серии «Альт». Среди нововведений — удобный графический интерфейс, поддержка альтернативных методов установки и скачивания приложений, а также встроенный инструмент для создания резервных копий установленных программ
Вышло обновление серверов Dr.Web Enterprise Security Suite и Dr.Web Industrial. Новая версия включает улучшения стабильности и новые инструменты централизованного управления действиями при обнаружении угроз на устройствах под управлением Android. Для получения всех преимуществ и корректной работы системы пользователям рекомендуется обновить серверы до актуальной версии
Ваши контактные данные не публикуются на сайте.