มัลแวร์ Denonia

มัลแวร์ที่ล่วงล้ำชื่อ Denonia กำลังถูกใช้ในการดำเนินการที่คุกคามโดยกำหนดเป้าหมายไปยังการติดตั้ง Amazon Web Services (AWS) Lambda จนถึงตอนนี้ เป้าหมายของผู้โจมตีดูเหมือนจะมีแรงจูงใจทางการเงิน โดยที่ Denonia กำลังปรับใช้ XMRig เวอร์ชันที่กำหนดเอง XMRig เป็นเครื่องมือขุด crypto ยอดนิยมที่อาชญากรไซเบอร์มักใช้เพื่อจี้ทรัพยากรฮาร์ดแวร์ของอุปกรณ์ที่ถูกเจาะเพื่อขุดหา Monero cryptocurrency

หลังจากวิเคราะห์ภัยคุกคาม นักวิจัยพบว่าแม้จะมีชื่อไฟล์ python แต่ Denonia ก็ถูกสร้างขึ้นโดยใช้ภาษาโปรแกรม Go มัลแวร์ถูกทิ้งเป็นไฟล์ปฏิบัติการ ELF แบบ 64 บิต และอาศัยไลบรารี GitHub ของบริษัทอื่นหลายแห่งเพื่อดำเนินการที่เป็นอันตราย ไลบรารีที่จำเป็นบางส่วนเกี่ยวข้องกับการเขียนฟังก์ชันแลมบ์ดาและการดึงข้อมูลจากแลมบ์ดาเรียกใช้คำขอ แลมบ์ดาเองเป็นบริการคอมพิวเตอร์แบบไร้เซิร์ฟเวอร์ที่ได้รับความนิยมจาก Amazon

นักวิจัยคาดการณ์ว่าการใช้ DNS ที่น่าสงสัยของ Denonia บน HTTPS (DOH) ที่ทำได้ผ่านไลบรารี doh-go นั้นถูกนำไปใช้เป็นมาตรการตอบโต้เพื่อหยุด AWS จากการตรวจจับการค้นหาภัยคุกคามเนื่องจากโดเมนที่ไม่ปลอดภัย ในขณะนี้ ไม่พบหลักฐานแน่ชัดที่ชี้ถึงเวกเตอร์การติดไวรัสที่แน่นอนซึ่งใช้ในการโจมตีที่เกี่ยวข้องกับมัลแวร์ Denonia