Denonia Malware

En bit av påträngande skadlig programvara som heter Denonia används i hotfulla verksamheter som riktar sig till Amazon Web Services (AWS) Lambda-installationer. Än så länge verkar angriparnas mål vara ekonomiskt motiverat, med Denonias utplacering av en anpassad XMRig- version. XMRig är en populär krypto-gruvarbetare som ofta används av cyberbrottslingar för att kapa hårdvaruresurserna för den brutna enheten för att bryta efter Monero-kryptovalutan.

Efter att ha analyserat hotet upptäckte forskarna att trots filnamnet python skapades Denonia med hjälp av programmeringsspråket Go. Skadlig programvara släpps som en 64-bitars ELF-körbar fil och den förlitar sig på flera tredjeparts GitHub-bibliotek för att utföra dess skadliga åtgärder. Några av de nödvändiga biblioteken gäller skrivning av Lambda-funktioner och extrahering av data från Lambda-anropsbegäranden. Lambda i sig är en populär serverlös, händelsestyrd datortjänst som erbjuds av Amazon.

Forskarna spekulerar i att Denonias nyfikna användning av DNS över HTTPS (DOH) som uppnåddes via doh-go-biblioteket implementerades som en motåtgärd för att stoppa AWS från att upptäcka hotets uppslagningar på grund av dess osäkra domäner. För tillfället har inga avgörande bevis som pekar på den exakta infektionsvektorn som användes i attackerna med Denonia malware hittats.