Вредоносное ПО Denonia

Вредоносное вредоносное ПО под названием Denonia используется в операциях, угрожающих установкам Amazon Web Services (AWS) Lambda. Пока что целью злоумышленников, по-видимому, является финансовая мотивация: Denonia представляет собой развертывание пользовательской версии XMRig . XMRig — популярный крипто-майнер, часто используемый киберпреступниками для захвата аппаратных ресурсов взломанного устройства для добычи криптовалюты Monero.

Проанализировав угрозу, исследователи обнаружили, что, несмотря на имя файла python, Denonia была создана с использованием языка программирования Go. Вредоносная программа удаляется как 64-битный исполняемый файл ELF и использует несколько сторонних библиотек GitHub для выполнения своих вредоносных действий. Некоторые из необходимых библиотек касаются написания лямбда-функций и извлечения данных из запросов вызова лямбда. Lambda сама по себе является популярной бессерверной компьютерной службой, управляемой событиями, предлагаемой Amazon.

Исследователи предполагают, что любопытное использование Denonia DNS через HTTPS (DOH), достигнутое с помощью библиотеки doh-go, было реализовано в качестве контрмеры, чтобы помешать AWS обнаруживать поисковые запросы угроз из-за его небезопасных доменов. На данный момент убедительных доказательств, указывающих на точный вектор заражения, использованный в атаках с использованием вредоносного ПО Denonia, не обнаружено.