데노니아 악성코드

Denonia라는 침입 악성코드가 Amazon Web Services(AWS) Lambda 설치를 대상으로 하는 위협 작업에 사용되고 있습니다. 지금까지 공격자의 목표는 재정적으로 동기가 부여된 것으로 보이며 Denonia는 맞춤형 XMRig 버전 배포를 목표로 삼고 있습니다. XMRig는 사이버 범죄자들이 Monero 암호 화폐를 채굴하기 위해 침해된 장치의 하드웨어 리소스를 가로채기 위해 자주 사용하는 인기 있는 암호 화폐 채굴기입니다.

위협을 분석한 후 연구원들은 파일 이름이 python임에도 불구하고 Denonia가 Go 프로그래밍 언어를 사용하여 생성되었음을 발견했습니다. 맬웨어는 64비트 ELF 실행 파일로 삭제되며 여러 타사 GitHub 라이브러리에 의존하여 유해한 작업을 실행합니다. 필요한 라이브러리 중 일부는 Lambda 함수 작성 및 Lambda 호출 요청에서 데이터 추출과 관련이 있습니다. Lambda 자체는 Amazon에서 제공하는 인기 있는 서버리스 이벤트 기반 컴퓨터 서비스입니다.

연구원들은 doh-go 라이브러리를 통해 달성한 Denonia의 이상한 DOH(DNS over HTTPS) 사용이 안전하지 않은 도메인으로 인해 AWS가 위협의 조회를 감지하지 못하게 하는 대응책으로 구현되었다고 추측합니다. 현재 Denonia 악성코드와 관련된 공격에 사용된 정확한 감염 벡터를 가리키는 결정적인 증거는 발견되지 않았습니다.