Denonia Malware

פיסה של תוכנה זדונית פולשנית בשם Denonia נמצאת בשימוש בפעולות מאיימות המתמקדות בהתקנות Lambda של Amazon Web Services (AWS). עד כה, נראה שהמטרה של התוקפים נובעת ממניע כלכלי, כאשר דנוניה היא פריסת גרסת XMRig מותאמת אישית. XMRig הוא כורה קריפטו פופולרי המשמש לעתים קרובות על ידי פושעי סייבר כדי לחטוף את משאבי החומרה של המכשיר הפרוץ כדי לכרות עבור המטבע הקריפטוגרפי Monero.

לאחר ניתוח האיום, החוקרים גילו שלמרות שיש לו את שם הקובץ python, Denonia נוצרה באמצעות שפת התכנות Go. התוכנה הזדונית נשמטת כקובץ הפעלה של ELF של 64 סיביות והיא מסתמכת על מספר ספריות GitHub של צד שלישי כדי לבצע את הפעולות המזיקות שלה. חלק מהספריות הדרושות נוגעות לכתיבת פונקציות למבדה וחילוץ נתונים מבקשות להפעלת Lambda. Lambda עצמו הוא שירות מחשבים פופולרי ללא שרתים מונע אירועים המוצע על ידי אמזון.

החוקרים משערים שהשימוש המוזר של דנוניה ב-DNS על HTTPS (DOH) שהושג באמצעות ספריית doh-go יושם כאמצעי נגד כדי למנוע מ-AWS לזהות את חיפושי האיום בגלל התחומים הלא בטוחים שלו. נכון לעכשיו, לא נמצאו ראיות חותכות המצביעות על וקטור ההדבקה המדויק ששימש בהתקפות הכוללות תוכנות זדוניות של Denonia.