Κακόβουλο λογισμικό Denonia

Ένα κομμάτι παρεμβατικού κακόβουλου λογισμικού με το όνομα Denonia χρησιμοποιείται σε απειλητικές λειτουργίες που στοχεύουν τις εγκαταστάσεις Lambda του Amazon Web Services (AWS). Μέχρι στιγμής, ο στόχος των επιτιθέμενων φαίνεται να έχει οικονομικά κίνητρα, με την Denonia να είναι η ανάπτυξη μιας προσαρμοσμένης έκδοσης XMRig . Το XMRig είναι ένα δημοφιλές crypto-miner που χρησιμοποιείται συχνά από εγκληματίες του κυβερνοχώρου για να παραβιάσει τους πόρους υλικού της συσκευής που παραβιάστηκε για να εξορύξει για το κρυπτονόμισμα Monero.

Αφού ανέλυσαν την απειλή, οι ερευνητές ανακάλυψαν ότι παρόλο που είχε το όνομα αρχείου python, η Denonia δημιουργήθηκε χρησιμοποιώντας τη γλώσσα προγραμματισμού Go. Το κακόβουλο λογισμικό απορρίφθηκε ως εκτελέσιμο ELF 64-bit και βασίζεται σε αρκετές βιβλιοθήκες GitHub τρίτων για την εκτέλεση των επιβλαβών ενεργειών του. Μερικές από τις απαραίτητες βιβλιοθήκες αφορούν τη συγγραφή συναρτήσεων Lambda και την εξαγωγή δεδομένων από αιτήματα επίκλησης Lambda. Το ίδιο το Lambda είναι μια δημοφιλής υπηρεσία υπολογιστή χωρίς διακομιστές, με γνώμονα τα συμβάντα που προσφέρεται από την Amazon.

Οι ερευνητές εικάζουν ότι η περίεργη χρήση του DNS από την Denonia μέσω HTTPS (DOH) που επιτεύχθηκε μέσω της βιβλιοθήκης doh-go εφαρμόστηκε ως αντίμετρο για να σταματήσει το AWS να εντοπίσει τις αναζητήσεις της απειλής λόγω των μη ασφαλών τομέων του. Προς το παρόν, δεν έχουν βρεθεί οριστικά στοιχεία που να δείχνουν τον ακριβή φορέα μόλυνσης που χρησιμοποιήθηκε στις επιθέσεις που περιλαμβάνουν κακόβουλο λογισμικό Denonia.