Denonia Malware

Część natrętnego złośliwego oprogramowania o nazwie Denonia jest wykorzystywana w zagrażających operacjach wymierzonych w instalacje Amazon Web Services (AWS) Lambda. Jak dotąd cel atakujących wydaje się być motywowany finansowo, a Denonia ma wdrożyć niestandardową wersję XMRig. XMRig to popularna koparka kryptowalut często wykorzystywana przez cyberprzestępców do przejmowania zasobów sprzętowych złamanego urządzenia w celu wydobycia kryptowaluty Monero.

Po przeanalizowaniu zagrożenia badacze odkryli, że pomimo nazwy pliku python, Denonia została stworzona przy użyciu języka programowania Go. Złośliwe oprogramowanie jest usuwane jako 64-bitowy plik wykonywalny ELF i do wykonywania szkodliwych działań wykorzystuje kilka bibliotek GitHub innych firm. Niektóre z potrzebnych bibliotek dotyczą pisania funkcji Lambda i wydobywania danych z żądań wywołań Lambda. Sama Lambda jest popularną bezserwerową, sterowaną zdarzeniami usługą komputerową oferowaną przez Amazon.

Naukowcy spekulują, że ciekawe wykorzystanie DNS przez HTTPS (DOH) przez Denonia, osiągnięte za pośrednictwem biblioteki doh-go, zostało wdrożone jako środek zaradczy, aby powstrzymać AWS przed wykrywaniem wyszukiwań zagrożeń ze względu na niebezpieczne domeny. Na chwilę obecną nie znaleziono rozstrzygających dowodów wskazujących na dokładny wektor infekcji wykorzystywany w atakach z wykorzystaniem złośliwego oprogramowania Denonia.