Détection de Malware Denonia : Un Wrapper en Go Compromet AWS Lambda pour Déployer un Mineur Monero
Table des matières :
Des chercheurs en sécurité rapportent une activité alarmante associée à un malware sur mesure appelé Denonia, visant les environnements AWS Lambda d’Amazon Web Services (AWS). Le malware est écrit dans le langage Go. Une fois dans le système, il est utilisé pour télécharger, installer et exécuter les fichiers de cryptominage XMRig pour le minage de la crypto-monnaie Monero.
Détecter le Malware Denonia
Le malware AWS Lambda, alias Denonia, utilise un user-agent spécifique pour se connecter au serveur C2. Pour détecter les traces de la présence du cryptomineur Denonia, utilisez le contenu de détection de menaces suivant, publié par Osman Demir:
Malware AWS Lambda suspect par Détection de User Agent (via proxy)
Cette détection basée sur Sigma a des traductions pour 17 plateformes SIEM, EDR & XDR.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, traitant de la tactique Command and Control avec le protocole de couche application (T1071) comme technique principale.
Pour détecter si votre système a subi des attaques via une plateforme AWS Lambda compromise, consultez la liste complète des règles disponibles dans le dépôt du Threat Detection Marketplace de la plateforme de SOC Prime. Envie de créer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty pour partager vos règles Sigma et YARA via le dépôt Threat Detection Marketplace et être récompensé pour votre précieuse contribution.
Voir les Détections Rejoindre Threat Bounty
Qu’est-ce que Denonia ?
Denonia est un malware unique en son genre dans la mesure où il n’existe pas de souches documentées développées spécifiquement pour compromettre les environnements cloud AWS Lambda afin de déployer des cryptomineurs. Denonia contient une variante personnalisée du cryptomineur open-source XMRig, utilisée pour pirater la machine de la victime afin de parasiter ses ressources et de miner des crypto-monnaies, à savoir Monero (XMR).
L’échantillon original remonte à janvier 2022, indiquant que les attaques durent depuis plus de deux mois maintenant, avec deux échantillons Denonia disponibles sur les marchés du darknet aujourd’hui.
Analyse de Denonia
L’enquête sur Denonia est toujours en cours, n’ayant pas encore révélé comment les adversaires déploient le malware sur les environnements ciblés (la seule chose connue est que Lambda n’a pas été compromis par une vulnérabilité). Les analystes de Cado Labsspéculent que les hackers peuvent suivre une voie de compromission des Clés d’Accès et Secrètes AWS pour un déploiement manuel ultérieur du malware.
Selon les chercheurs, Denonia est codé dans le langage Go. Les adversaires deviennent experts en malware basé sur GoLang, augmentant de manière stable le nombre de souches de malware basées sur Go disponibles sur les marchés du darknet et repérés dans la nature. Les cybercriminels favorisent les codes malveillants en binaire Go pour diverses raisons, y compris leur polyvalence et leur discrétion (les binaires basés sur Go sont plutôt volumineux, ce qui leur permet de contourner un certain nombre de programmes antivirus de manière inaperçue).
Il est évident que Denonia a été créé pour cibler un service de calcul sans serveur, déclenché par des événements Lambda, car il vérifie les variables d’environnement Lambda avant de s’exécuter. Cependant, selon les données actuelles, il peut également être utilisé pour compromettre les systèmes Linux, tels que les boîtes Amazon Linux.
Inscrivez-vous pour la plateforme Detection as Code de SOC Prime gratuitement et amenez vos opérations de découverte et de chasse aux menaces à un tout autre niveau. Cherchez instantanément les dernières menaces dans plus de 25 technologies SIEM, EDR et XDR prises en charge, améliorez la sensibilisation aux attaques les plus récentes dans le contexte des vulnérabilités exploitées et de la matrice MITRE ATT&CK, et rationalisez vos opérations de sécurité.
