Зловреден софтуер на Denonia

Част натрапчив зловреден софтуер на име Denonia се използва при заплашителни операции, насочени към инсталации на Amazon Web Services (AWS) Lambda. Засега целта на нападателите изглежда е финансово мотивирана, като Denonia е внедряването на персонализирана версия на XMRig . XMRig е популярен крипто-майнер, често използван от киберпрестъпници, за да отвличат хардуерните ресурси на взломаното устройство, за да копаят за криптовалутата Monero.

След анализ на заплахата, изследователите откриха, че въпреки името на файла python, Denonia е създадена с помощта на езика за програмиране Go. Зловредният софтуер е отхвърлен като 64-битов ELF изпълним файл и разчита на няколко библиотеки на GitHub на трети страни, за да изпълни своите вредни действия. Някои от необходимите библиотеки се отнасят до писането на Lambda функции и извличане на данни от Lambda invoke заявки. Самата Lambda е популярна компютърна услуга без сървър, управлявана от събития, предлагана от Amazon.

Изследователите спекулират, че любопитното използване на Denonia на DNS през HTTPS (DOH), постигнато чрез библиотеката doh-go, е приложено като контрамярка, за да спре AWS да открива търсенията на заплахата поради опасните й домейни. Към момента не са открити убедителни доказателства, сочещи точния вектор на инфекция, използван при атаките, включващи зловреден софтуер на Denonia.