Обнаружен криптомайнер Denonia для бессерверной среды AWS Lambda

Обнаружен криптомайнер Denonia для бессерверной среды AWS Lambda

Вредонос Denonia содержит настроенный вариант XMRig для майнинга криптовалюты Monero.

Специалисты из компании Cado Security обнаружили вредоносное ПО, специально предназначенного для работы в бессерверных средах AWS Lambda и майнинга криптовалюты. Как признались в Cado Security, команда исследователей не совсем понимает, как развертывается вредоносное программное обеспечение, получившее название Denonia.

«Это может быть просто вопрос компрометации доступа и секретных ключей AWS с последующим ручным развертыванием в скомпрометированных средах Lambda», — предположили эксперты.

Хотя ИБ-специалисты зафиксировали работу вредоноса только на AWS Lambda, его можно заставить работать и в Linux-среде.

Код вредоноса написан на языке программирования Google Go, который популярен среди разработчиков вредоносных программ в связи с легкостью использования для создания кроссплатформенных автономных статически связанных исполняемых файлов. Программный код может быть монолитным BLOB-объектом, затрудняя обратную разработку, а строки могут не хранятся с нулевыми терминаторами в стиле C.

Denonia содержит настроенный вариант XMRig для майнинга криптовалюты Monero «наряду с другими неизвестными функциями». Во время динамического анализа Denonia остановила выполнение и зафиксировало ошибку о том, что переменная среды Lambda AWS не определена. Исследователи нашли 64-битный исполняемый файл ELF, ориентированный на архитектуру x86-64. Файл использует ряд сторонних библиотек, в том числе одну конкретную для обеспечения выполнения в средах AWS Lambda.

Вредоносное ПО включает несколько сторонних библиотек Go, в том числе инструменты для написания функций Lambda, помощники для получения контекстной информации из запроса на вызов Lambda, общие комплекты разработки программного обеспечения AWS для Go и DNS-over-HTTPS (DoH) в Go. DoH шифрует DNS-запросы и отправляет запросы доменного имени в виде обычного HTTPS-трафика. Данный подход не позволяет AWS просматривать DNS-запросы, снижая шансы вредоносного ПО быть обнаруженным.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум