Denonia Malware

Et stykke påtrengende skadelig programvare kalt Denonia blir brukt i truende operasjoner rettet mot Amazon Web Services (AWS) Lambda-installasjoner. Så langt ser målet til angriperne ut til å være økonomisk motivert, med Denonia som distribusjon av en tilpasset XMRig- versjon. XMRig er en populær krypto-gruvearbeider som ofte brukes av nettkriminelle for å kapre maskinvareressursene til den brutte enheten for å hente Monero-kryptovalutaen.

Etter å ha analysert trusselen, oppdaget forskerne at til tross for filnavnet python, ble Denonia opprettet ved hjelp av programmeringsspråket Go. Skadevaren blir droppet som en 64-biters ELF-kjørbar, og den er avhengig av flere tredjeparts GitHub-biblioteker for å utføre de skadelige handlingene. Noen av de nødvendige bibliotekene dreier seg om skriving av Lambda-funksjoner og uttrekk av data fra Lambda-anropsforespørsler. Lambda i seg selv er en populær serverløs, hendelsesdrevet datatjeneste som tilbys av Amazon.

Forskerne spekulerer i at Denonias nysgjerrige bruk av DNS over HTTPS (DOH) oppnådd via doh-go-biblioteket ble implementert som et mottiltak for å stoppe AWS fra å oppdage trusselens oppslag på grunn av dets usikre domener. For øyeblikket er det ikke funnet noen avgjørende bevis som peker på den eksakte infeksjonsvektoren som ble brukt i angrepene som involverte Denonia malware.