Die erste Malware ihrer Art, die auf die Serverless-Computing-Plattform Lambda von Amazon Web Services (AWS) abzielt, wurde in freier Wildbahn entdeckt.
Die Malware, die nach dem Namen der Domain, mit der sie kommuniziert, „Denonia“ genannt wird, verwendet neuere Adressauflösungstechniken für den Befehls- und Kontrollverkehr, um typische Erkennungsmaßnahmen und virtuelle Netzwerkzugangskontrollen zu umgehen“, so Matt Muir, Forscher bei Cado Labs.
Das von dem Cybersecurity-Unternehmen analysierte Artefakt wurde am 25. Februar 2022 in die VirusTotal-Datenbank hochgeladen, trägt den Namen „python“ und ist als 64-Bit-ELF-Datei verpackt.
Der Dateiname ist jedoch irreführend, da Denonia in Go programmiert ist und eine angepasste Variante der Kryptowährungs-Mining-Software XMRig enthält. Die Art und Weise des anfänglichen Zugriffs ist unbekannt, obwohl vermutet wird, dass die AWS-Zugangs- und Geheimschlüssel kompromittiert wurden.
Ein weiteres bemerkenswertes Merkmal der Malware ist die Verwendung von DNS über HTTPS (DoH) für die Kommunikation mit ihrem Command-and-Control-Server („gw.denonia[.]xyz“), indem der Datenverkehr in verschlüsselten DNS-Anfragen verborgen wird.
Python“ ist jedoch nicht das einzige Beispiel von Denonia, das bisher entdeckt wurde. Cado Labs fand ein zweites Beispiel (mit dem Namen „bc50541af8fe6239f0faa7c57a44d119.virus“), das am 3. Januar 2022 auf VirusTotal hochgeladen wurde.
„Obwohl dieses erste Beispiel relativ harmlos ist, da es nur Krypto-Mining-Software ausführt, zeigt es, wie Angreifer fortgeschrittenes Cloud-spezifisches Wissen nutzen, um komplexe Cloud-Infrastrukturen auszunutzen, und ist ein Hinweis auf mögliche zukünftige, ruchlosere Angriffe“, so Muir.
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com