Detección de Malware Denonia: Contenedor basado en Go compromete AWS Lambda para desplegar un minero de Monero
Tabla de contenidos:
Los investigadores de seguridad informan sobre una actividad alarmante asociada con un malware hecho a medida denominado Denonia, diseñado para atacar los entornos de AWS Lambda de Amazon Web Services. El malware está escrito en el lenguaje Go. Una vez en el sistema, se utiliza para descargar, instalar y ejecutar los archivos de criptominería XMRig para minar criptomonedas Monero.
Detectar el Malware Denonia
El malware AWS Lambda, también conocido como Denonia, utiliza un agente de usuario específico para conectarse al servidor C2. Para detectar los rastros de la presencia del criptominero Denonia, utilice el siguiente contenido de detección de amenazas publicado por Osman Demir:
Malware sospechoso de AWS Lambda por detección de agente de usuario (a través de proxy)
Esta detección basada en Sigma tiene traducciones para 17 plataformas de SIEM, EDR y XDR.
La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Comando y Control con el Protocolo de Capa de Aplicación (T1071) como la técnica principal.
Para detectar si hubo ataques en su sistema mediante una plataforma AWS Lambda comprometida, consulte la lista completa de reglas disponibles en el repositorio de Threat Detection Marketplace de la plataforma de SOC Prime. ¿Le gustaría crear sus propias reglas Sigma? Únase a nuestro programa Threat Bounty para compartir sus reglas Sigma y YARA a través del repositorio de Threat Detection Marketplace y ser recompensado por su valiosa contribución.
Ver detecciones Únase a Threat Bounty
¿Qué es Denonia?
Denonia es el primer malware de su tipo en el sentido de que no hay cepas documentadas desarrolladas específicamente para comprometer entornos AWS Lambda en la nube para desplegar criptomineros. Denonia contiene una variante personalizada del criptominero XMRig de código abierto, utilizado para secuestrar la máquina de la víctima para parasitar sus recursos y minar moneda digital, a saber, Monero (XMR).
La muestra original se remonta a enero de 2022, lo que indica que los ataques han durado más de dos meses, con dos muestras de Denonia disponibles en los mercados de la darknet hoy en día.
Análisis de Denonia
La investigación de Denonia aún está en curso, aún no se ha revelado cómo los adversarios despliegan el malware en los entornos objetivo (lo único que se sabe es que Lambda no se vio comprometido a través de una vulnerabilidad). Cado Labs’ los analistas especulan que los hackers pueden estar siguiendo un camino de compromiso de las claves de acceso y secreto de AWS para el despliegue manual posterior del malware.
Según los investigadores, Denonia está codificado en el lenguaje Go. Los adversarios se están volviendo astutos con el malware basado en GoLang, lo que impulsa un aumento estable en el número de cepas de malware basadas en Go disponibles en los mercados de la darknet y detectadas en la naturaleza. Los cibercriminales prefieren los códigos maliciosos en binarios Go por una variedad de razones, incluidas su versatilidad y sigilo (los binarios basados en Go son bastante voluminosos, lo que les permite evadir varios programas antivirus sin ser detectados).
Es evidente que Denonia fue creado para atacar un servicio informático sin servidor y orientado a eventos, Lambda, ya que verifica las variables de entorno Lambda antes de ejecutarse. Sin embargo, según los datos actuales, también puede ser aprovechado para comprometer sistemas Linux, como los servidores Linux de Amazon.
Regístrese para la plataforma Detection as Code de SOC Prime de forma gratuita y lleve sus operaciones de descubrimiento y búsqueda de amenazas al siguiente nivel. Cace instantáneamente las amenazas más recientes dentro de más de 25 tecnologías respaldadas de SIEM, EDR y XDR, aumente la conciencia de los ataques más recientes en el contexto de las vulnerabilidades explotadas y la matriz MITRE ATT&CK, y optimice sus operaciones de seguridad.
