Зловмисне програмне забезпечення Denonia

Зловмисне зловмисне програмне забезпечення під назвою Denonia використовується для загрозливих операцій, спрямованих на встановлення Lambda Amazon Web Services (AWS). Поки що мета зловмисників, схоже, була фінансово мотивована, а Denonia розгортала власну версію XMRig . XMRig — популярний криптомайнер, який часто використовується кіберзлочинцями для захоплення апаратних ресурсів зламаного пристрою для майнінгу криптовалюти Monero.

Проаналізувавши загрозу, дослідники виявили, що, незважаючи на ім’я файлу python, Denonia була створена за допомогою мови програмування Go. Шкідливе програмне забезпечення видаляється як 64-розрядний виконуваний файл ELF, і воно покладається на кілька сторонніх бібліотек GitHub для виконання шкідливих дій. Деякі з необхідних бібліотек стосуються написання функцій лямбда та вилучення даних із запитів виклику лямбда. Сама Lambda — це популярний безсерверний комп’ютерний сервіс, який пропонує Amazon.

Дослідники припускають, що дивовижне використання Denonia DNS через HTTPS (DOH), досягнуте за допомогою бібліотеки doh-go, було реалізовано як контрзахід, щоб AWS не міг виявляти пошуки загрози через небезпечні домени. На даний момент не знайдено жодних переконливих доказів, які б вказували на точний вектор зараження, який використовувався в атаках із залученням шкідливого програмного забезпечення Denonia.