Denonia haittaohjelma

Tunkeutuvaa Denonia-nimistä haittaohjelmaa käytetään uhkaavissa toimissa Amazon Web Services (AWS) Lambda-asennuksiin. Toistaiseksi hyökkääjien tavoite näyttää olevan taloudellisesti motivoitunut, ja Denonia on mukautetun XMRig- version käyttöönotto. XMRig on suosittu krypto-kaivostyökalu, jota verkkorikolliset usein käyttävät murtautuneen laitteen laitteistoresurssien kaappaamiseen Moneron kryptovaluuttaa varten.

Uhkauksen analysoinnin jälkeen tutkijat havaitsivat, että Denonia luotiin Go-ohjelmointikielellä huolimatta tiedostonimestä python. Haittaohjelma pudotetaan 64-bittiseksi ELF-suoritettavaksi ohjelmaksi, ja se luottaa useisiin kolmannen osapuolen GitHub-kirjastoihin suorittaakseen haitallisia toimia. Jotkut tarvittavista kirjastoista liittyvät Lambda-funktioiden kirjoittamiseen ja tiedon poimimiseen Lambda-kutsupyynnöistä. Lambda itsessään on suosittu palvelimeton, tapahtumapohjainen tietokonepalvelu, jonka tarjoaa Amazon.

Tutkijat spekuloivat, että Denonian utelias DNS:n käyttö HTTPS:n (DOH) kautta, joka saavutettiin doh-go-kirjaston kautta, toteutettiin vastatoimenpiteenä, jotta AWS ei havaitse uhan hakuja sen vaarallisten verkkotunnusten vuoksi. Tällä hetkellä ei ole löydetty vakuuttavia todisteita Denonia-haittaohjelmien hyökkäyksissä käytetystä tarkasta tartuntavektorista.