Denonia Malware

Et stykke påtrængende malware ved navn Denonia bliver brugt i truende operationer rettet mod Amazon Web Services (AWS) Lambda-installationer. Indtil videre ser angribernes mål ud til at være økonomisk motiveret, hvor Denonia er implementeringen af en tilpasset XMRig- version. XMRig er en populær crypto-miner, der ofte bruges af cyberkriminelle til at kapre hardwareressourcerne på den brudte enhed for at mine efter Monero-kryptovalutaen.

Efter at have analyseret truslen opdagede forskerne, at trods filnavnet python, blev Denonia oprettet ved hjælp af Go-programmeringssproget. Malwaren er droppet som en 64-bit ELF eksekverbar, og den er afhængig af flere tredjeparts GitHub-biblioteker til at udføre sine skadelige handlinger. Nogle af de nødvendige biblioteker vedrører skrivning af Lambda-funktioner og udtrækning af data fra Lambda-anmodninger. Lambda i sig selv er en populær serverløs, begivenhedsdrevet computertjeneste, der tilbydes af Amazon.

Forskerne spekulerer i, at Denonias nysgerrige brug af DNS over HTTPS (DOH) opnået via doh-go-biblioteket blev implementeret som en modforanstaltning for at forhindre AWS i at opdage truslens opslag på grund af dets usikre domæner. I øjeblikket er der ikke fundet noget afgørende bevis, der peger på den nøjagtige infektionsvektor, der blev brugt i angrebene, der involverede Denonia-malware.