Denonia Malware

A Denonia nevű, tolakodó kártevőt az Amazon Web Services (AWS) Lambda telepítéseit célzó fenyegető műveletekben használják. Egyelőre úgy tűnik, hogy a támadók célja anyagilag motivált, a Denonia egy egyedi XMRig verzió bevetése volt. Az XMRig egy népszerű kripto-bányász, amelyet a kiberbűnözők gyakran használnak arra, hogy eltérítsék a feltört eszköz hardver erőforrásait, hogy Monero kriptovalutát bányászhassanak.

A fenyegetés elemzése után a kutatók felfedezték, hogy annak ellenére, hogy a python fájlnévvel rendelkezik, a Denonia a Go programozási nyelv segítségével jött létre. A rosszindulatú program 64 bites ELF futtatható fájlként kerül eldobásra, és számos harmadik féltől származó GitHub-könyvtárra támaszkodik a káros műveletek végrehajtásához. A szükséges könyvtárak egy része a Lambda-függvények írására és a Lambda-hívási kérésekből származó adatok kinyerésére vonatkozik. Maga a Lambda egy népszerű szerver nélküli, eseményvezérelt számítógépes szolgáltatás, amelyet az Amazon kínál.

A kutatók azt feltételezik, hogy a Denonia által a doh-go könyvtáron keresztül elért, HTTPS-en keresztüli DNS (DOH) furcsa használata ellenintézkedésként valósult meg, hogy megakadályozza az AWS-t abban, hogy észlelje a fenyegetés kereséseit a nem biztonságos tartományai miatt. Jelenleg nem találtak meggyőző bizonyítékot a Denonia malware-t érintő támadásokban használt pontos fertőzési vektorra.