Παρασκευή, 15 Ιανουαρίου, 19:31
Αρχική security Το νέο malware CDRThief κλέβει metadata VoIP από Linux softswitches

Το νέο malware CDRThief κλέβει metadata VoIP από Linux softswitches

Οι ερευνητές ανακάλυψαν μια νέα απειλή που ονόμασαν CDRThief που έχει ως στόχο ένα σύστημα VoIP και προσπαθεί να κλέψει τα records των δεδομένων κλήσεων (CDR).

Η ανάλυση του malware αποκάλυψε ότι δημιουργήθηκε ειδικά για μια συγκεκριμένη πλατφόρμα Linux VoIP, συγκεκριμένα τα Linknat VOS2009 / 3000 softswitches (software switches).

Το softswitch είναι ένα software που λειτουργεί ως server VoIP που διαχειρίζεται την κυκλοφορία (ήχος / βίντεο / κείμενο) σε ένα δίκτυο τηλεπικοινωνιών. Είναι ένα κεντρικό element που εξασφαλίζει τη σύνδεση μεταξύ εσωτερικών και εξωτερικών γραμμών.

Ο σκοπός του CDRThief είναι να θέσει σε κίνδυνο το λογισμικό VOS2009 / 3000 και να κλέψει metadata κλήσεων από εσωτερικές βάσεις δεδομένων MySQL. Τα metadata είναι για παράδειγμα διευθύνσεις IP των καλούντων, τηλεφωνικοί αριθμοί, ώρα έναρξης και διάρκεια των κλήσεων, τη διαδρομή και τον τύπο της.

Αναλύοντας το malware, οι ερευνητές της ESET διαπίστωσαν ότι προσπάθησε να συγκαλύψει την κακόβουλη λειτουργικότητα χρησιμοποιώντας το κρυπτογραφημένο Corrected Block TEA (XXTEA) και στη συνέχεια να τρέξει κωδικοποίηση Base64 σε ύποπτα links.

Παρόλο που η πρόσβαση στη βάση δεδομένων MySQL προστατεύεται με κωδικό πρόσβασης και το κλειδί είναι κρυπτογραφημένο στο αρχείο διαμόρφωσης, το CDRThief μπορεί να το διαβάσει και να το αποκρυπτογραφήσει, δείχνοντας ότι όποιος το ανέπτυξε γνωρίζει πολύ καλά την πλατφόρμα.

CDRThief

Από τις λειτουργίες του malware, οι ερευνητές διαπίστωσαν ότι το CDRThief ενδιαφέρεται για πίνακες που περιέχουν αρχεία καταγραφής συμβάντων συστήματος, πληροφορίες για πύλες VoIP και metadata κλήσεων.

Το malware παραδίδει τις πληροφορίες σε έναν command and control (C2) server χρησιμοποιώντας JSON μέσω HTTP αφού τις συμπιέσει και τις κρυπτογραφήσει με ένα δημόσιο κλειδί RSA-1024 με κωδικό.

Η ανάλυση αποκάλυψε ότι το CDRThief μπορεί να ξεκινήσει από οποιαδήποτε θέση στο δίσκο, χρησιμοποιώντας οποιοδήποτε όνομα αρχείου.

Δεν είναι ξεκάθαρο πώς επιτυγχάνεται το persistence, αλλά οι ερευνητές λένε ότι η παραπάνω εντολή υποδηλώνει ότι το κακόβουλο λογισμικό μπορεί να εισαχθεί στην αλυσίδα εκκίνησης της πλατφόρμας, και μάλλον μεταμφιέζεται ως «Linknat softswitch component».

Με βάση τις τρέχουσες παρατηρήσεις της ανάλυσης, το CDRThief μπορεί να χρησιμοποιηθεί για επιχειρήσεις κατασκοπείας στον κυβερνοχώρο ή απάτες VoIP.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Android: Πώς να δείτε ποια apps έχουν πρόσβαση στην τοποθεσία σας

Δεν είναι μυστικό ότι οι εφαρμογές smartphone έχουν τη δυνατότητα πρόσβασης σε πολλά δικαιώματα — εάν τις αφήσετε. Είναι σημαντικό να βεβαιωθείτε...

Η Canon σας επιτρέπει να «τραβάτε φωτογραφίες» από το διάστημα

Αντί να κυκλοφορήσει νέες κάμερες για το CES 2021, η Canon κάνει κάτι διαφορετικό: Σας επιτρέπει να τραβάτε φωτογραφίες από το διάστημα....

Wikipedia vs Big tech: Ποιος πολεμάει την παραπληροφόρηση;

Καθώς η Ημέρα των Εκλογών μετατράπηκε σε Εβδομάδα Εκλογών στις ΗΠΑ, το Facebook, το Twitter και το YouTube προσπαθούσαν να αποτρέψουν την...
00:02:36

Tesla: Καλείται να ανακαλέσει αυτοκίνητα λόγω προβληματικών οθονών

H οθόνη αφής (touchscreen) σε ορισμένα αυτοκίνητα της Tesla φαίνεται να έχει κάποιο πρόβλημα, που θα μπορούσε...

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...