Malware Denonia

Kus rušivého malwaru jménem Denonia je používán při ohrožujících operacích zaměřených na instalace Lambda Amazon Web Services (AWS). Zatím se zdá, že cíl útočníků je finančně motivovaný, přičemž Denonia má na mysli nasazení vlastní verze XMRig . XMRig je populární krypto-těžař, který často používají kyberzločinci k únosu hardwarových zdrojů narušeného zařízení k těžbě kryptoměny Monero.

Po analýze hrozby výzkumníci zjistili, že přestože má název souboru python, byla Denonia vytvořena pomocí programovacího jazyka Go. Malware je vyřazen jako 64bitový spustitelný soubor ELF a spoléhá na několik knihoven GitHub třetích stran, které provádějí své škodlivé akce. Některé z potřebných knihoven se týkají psaní funkcí Lambda a extrahování dat z požadavků Lambda invoke. Samotná Lambda je oblíbená bezserverová počítačová služba řízená událostmi, kterou nabízí Amazon.

Výzkumníci spekulují, že zvláštní použití DNS přes HTTPS (DOH) společnosti Denonia dosažené prostřednictvím knihovny doh-go bylo implementováno jako protiopatření, které má zabránit AWS v detekci vyhledávání hrozby kvůli jejím nebezpečným doménám. V tuto chvíli nebyly nalezeny žádné přesvědčivé důkazy ukazující na přesný infekční vektor použitý při útocích zahrnujících malware Denonia.