Denonia Malware

Amazon Web Services (AWS) Lambda kurulumlarını hedef alan tehdit operasyonlarında Denonia adlı bir kötü amaçlı yazılım parçası kullanılıyor. Şimdiye kadar, saldırganların amacı, Denonia'nın özel bir XMRig sürümünün konuşlandırılmasıyla finansal olarak motive edilmiş gibi görünüyor. XMRig, genellikle siber suçlular tarafından, ihlal edilen cihazın donanım kaynaklarını Monero kripto para birimi için madenciliğe kaçırmak için kullanılan popüler bir kripto madencisidir.

Tehdidi analiz ettikten sonra araştırmacılar, python dosya adına sahip olmasına rağmen Denonia'nın Go programlama dili kullanılarak oluşturulduğunu keşfettiler. Kötü amaçlı yazılım 64-bit ELF yürütülebilir dosyası olarak bırakılır ve zararlı eylemlerini yürütmek için birkaç üçüncü taraf GitHub kitaplığına güvenir. Gerekli kitaplıklardan bazıları, Lambda işlevlerinin yazılması ve Lambda çağırma isteklerinden verilerin çıkarılmasıyla ilgilidir. Lambda, Amazon tarafından sunulan popüler bir sunucusuz, olaya dayalı bilgisayar hizmetidir.

Araştırmacılar, Denonia'nın doh-go kitaplığı aracılığıyla gerçekleştirilen HTTPS (DOH) üzerinden ilginç DNS kullanımının, güvenli olmayan etki alanları nedeniyle AWS'nin tehdidin aramalarını algılamasını engellemek için bir önlem olarak uygulandığını tahmin ediyor. Şu anda, Denonia kötü amaçlı yazılımını içeren saldırılarda kullanılan tam olarak bulaşma vektörüne işaret eden kesin bir kanıt bulunamadı.