Ανακαλύφθηκε μια νέα παραλλαγή κακόβουλου λογισμικού που στοχεύει την AWS Lambda. Την Τετάρτη, ερευνητές από την Cado Security δημοσίευσαν τα ευρήματά τους για το Denonia malware που χρησιμοποιείται επί του παρόντος σε στοχευμένες επιθέσεις κατά της Lambda.
Δείτε επίσης: Ψεύτικες εκδόσεις πραγματικών smartphone apps χρησιμοποιούνται για τη διάδοση malware
Η Cado Labs αναλύει τακτικά περιβάλλοντα cloud για να αναζητήσει τις πιο πρόσφατες απειλές. Ως μέρος της συνεχιζόμενης έρευνας, βρήκε την πρώτη δημόσια γνωστή περίπτωση κακόβουλου λογισμικού που έχει σχεδιαστεί ειδικά για εκτέλεση σε περιβάλλον AWS Lambda. Ονόμασε αυτό το malware ως Denonia, από το όνομα που έδωσαν οι εισβολείς στο domain με τον οποίο επικοινωνεί. Το Denonia malware χρησιμοποιεί νεότερες τεχνικές ανάλυσης διευθύνσεων για εντολές και έλεγχο της κυκλοφορίας για να αποφύγει τυπικά μέτρα εντοπισμού και ελέγχους πρόσβασης εικονικού δικτύου. Αν και αυτό το πρώτο δείγμα είναι αρκετά αβλαβές καθώς εκτελεί μόνο crypto-mining software, δείχνει πώς οι επιτιθέμενοι χρησιμοποιούν προηγμένες γνώσεις ειδικά για το cloud για να εκμεταλλευτούν περίπλοκες υποδομές cloud και είναι ενδεικτικό πιθανών μελλοντικών, πιο σύνθετων επιθέσεων.
Το Lambda είναι μια κλιμακούμενη υπολογιστική υπηρεσία που προσφέρεται από την Amazon Web Services (AWS) για εκτέλεση κώδικα, συντήρηση server και OS, παροχή χωρητικότητας, καταγραφή και λειτουργία πολλών υπηρεσιών υποστήριξης.
Δείτε επίσης: Android malware: Νέο spyware έχει πρόσβαση σε πολλά δεδομένα
Σύμφωνα με την Cado Security, αυτή η υπηρεσία cloud — που χρησιμοποιείται από μικρομεσαίες επιχειρήσεις και παίκτες επιχειρήσεων παγκοσμίως — κινδυνεύει πλέον να μολυνθεί από το Denonia malware.
Τεχνικές λεπτομέρειες
Ενώ έχει το όνομα αρχείου “python” – το malware είναι στην πραγματικότητα γραμμένο στο Go και φαίνεται να περιέχει μια προσαρμοσμένη παραλλαγή του λογισμικού εξόρυξης XMRig, μαζί με άλλες άγνωστες λειτουργίες.
Κατά τη δυναμική ανάλυση, το κακόβουλο λογισμικό σταμάτησε γρήγορα την εκτέλεση και κατέγραψε το ακόλουθο σφάλμα:
Μετά από περαιτέρω εξέταση, οι ερευνητές βρήκαν ότι το δείγμα ήταν ένα εκτελέσιμο ELF 64-bit. Το κακόβουλο λογισμικό βασίζεται και σε βιβλιοθήκες GitHub τρίτων, συμπεριλαμβανομένων εκείνων για τη σύνταξη συναρτήσεων Lambda και την ανάκτηση δεδομένων από αιτήματα επίκλησης Lambda.
Μια άλλη ενδιαφέρουσα πτυχή είναι η χρήση του DNS over HTTPS (DoH), μέσω της βιβλιοθήκης doh-go, η οποία η ομάδα πιστεύει ότι θα μπορούσε να είχε εφαρμοστεί για να σταματήσει το AWS να ανιχνεύει αναζητήσεις για κακόβουλα domains.
Η Cado Security δεν είναι σίγουρη ποιος επιθετικός φορέας θα μπορούσε να αναπτύσσει το malware του σε περιβάλλοντα Lambda. Ωστόσο, η ομάδα εικάζει ότι θα μπορούσε να είναι θέμα χρήσης scripts για την απόκτηση access credentials ή μυστικών κλειδιών από επισφαλείς ρυθμίσεις.
Δείτε επίσης: Borat malware: Νέο RAT επιτρέπει DDoS και ransomware επιθέσεις
Το κακόβουλο λογισμικό εκτελεί μια προσαρμοσμένη έκδοση του XMRig στη μνήμη. Το XMRig είναι ένας miner που χρησιμοποιείται για την εξόρυξη του Monero cryptocurrency αξιοποιώντας τους πόρους ενός υπολογιστή. Αυτό υποδηλώνει ότι οι στόχοι του προγραμματιστή θα μπορούσαν να είναι καθαρά οικονομικοί, με το malware Denonia να παρέχει ένα μέσο για την κλοπή υπολογιστικών πόρων για τη δημιουργία πωλήσιμων νομισμάτων.
Πηγή πληροφοριών: zdnet.com
