コールメタデータを記録するためにLinux VoIPソフトスイッチをターゲットとする新しいCDRThiefマルウェア
CDRThief-特定のボイスオーバーIPシステムを標的とし、電話交換機器を介して通話データレコード(CDR)を盗む、野生で検出された新しい脅威。マルウェアアナリストによると、このマルウェアは特定のLinux VolPプラットフォーム(Linknat VOS2009 / 3000ソフトスイッチ)用に特に細工されています。
ソフトスイッチとは、VolPサーバーとして機能し、通信ネットワークのトラフィックを管理するソフトウェアソリューションを指します。検出されたマルウェアは、脆弱なVOS2009 / 3000ソフトスイッチを侵害して、MySQLデータベースからコールメタデータを盗もうとします。このようなデータには、発信者のIPアドレス、電話番号、通話の開始時間と期間、ルートとタイプが含まれます。
分析すると、ESETの研究者は、このマルウェアがXXTEA暗号を使用して悪意のある機能を難読化し、疑わしいと思われるリンクでBase64エンコーディングを実行しようとするという結論に達しました。
MySQLデータベースは通常パスワードで保護されています。 ESETは、AESに関するLInknatコードの詳細とデータベースアクセスパスワードを復号化するためのキーを取得するために、作成者がこれらのエンジニアプラットフォームバイナリをリバースする必要があったと考えています。
CDRThiefマルウェアがこのキーを読み取って復号化できることは、そのキーの開発者がプラットフォームについてよく知っていることを示しています。収集された情報は、ハードコーディングされたRSA-1024公開鍵で圧縮および暗号化した後、JSON over HTTPを使用してコマンドアンドコントロールサーバーに送信されます。
「説明した機能に基づくと、マルウェアの主な焦点はデータベースからのデータ収集にあります。他のバックドアとは異なり、Linux / CDRThiefは、シェルコマンドの実行や、侵害されたソフトスイッチのディスクからの特定のファイルの引き出しをサポートしていません。ただし、これらの関数は、更新されたバージョンで導入される可能性があります」-ESET。
現時点では、マルウェアがどのようにして永続性を獲得するかは不明です。研究者は、コマンド-exec -a ‘/ home / kunshi / callservice / bin / callservice -r / home / kunshi / .run / callservice.pid’-がプラットフォームに挿入され、Linknatソフトスイッチコンポーネントとして偽装されている可能性があると考えています。