Denonia Malware

Een stukje opdringerige malware genaamd Denonia wordt gebruikt bij bedreigende operaties gericht op Amazon Web Services (AWS) Lambda-installaties. Tot dusver lijkt het doel van de aanvallers financieel gemotiveerd te zijn, waarbij Denonia de inzet van een aangepaste XMRig- versie is. XMRig is een populaire cryptominer die vaak door cybercriminelen wordt gebruikt om de hardwarebronnen van het gehackte apparaat te kapen om de Monero-cryptocurrency te delven.

Na analyse van de dreiging ontdekten onderzoekers dat Denonia, ondanks de bestandsnaam python, is gemaakt met de programmeertaal Go. De malware wordt neergezet als een 64-bits ELF-uitvoerbaar bestand en het vertrouwt op verschillende GitHub-bibliotheken van derden om zijn schadelijke acties uit te voeren. Sommige van de benodigde bibliotheken hebben betrekking op het schrijven van Lambda-functies en het extraheren van gegevens uit Lambda-aanroepverzoeken. Lambda zelf is een populaire serverloze, gebeurtenisgestuurde computerservice die wordt aangeboden door Amazon.

De onderzoekers speculeren dat het merkwaardige gebruik van DNS via HTTPS (DOH) door Denonia via de doh-go-bibliotheek werd geïmplementeerd als een tegenmaatregel om te voorkomen dat AWS de zoekopdrachten van de dreiging detecteert vanwege de onveilige domeinen. Op dit moment is er geen sluitend bewijs gevonden dat wijst op de exacte infectievector die is gebruikt bij de aanvallen met Denonia-malware.