Denonia Malware Detection: Go-Based Wrapper Compromises AWS Lambda to Deploy Monero Miner
Indice:
I ricercatori di sicurezza riportano un’attività allarmante associata a un malware su misura chiamato Denonia, mirato agli ambienti Lambda di Amazon Web Services (AWS). Il malware è scritto nel linguaggio Go. Una volta nel sistema, viene utilizzato per scaricare, installare ed eseguire i file di cryptomining XMRig per il mining di criptovaluta Monero.
Rileva il Malware Denonia
Il malware AWS Lambda, noto anche come Denonia, utilizza un user-agent specifico per connettersi al server C2. Per rilevare le tracce della presenza del cryptominer Denonia, utilizza i seguenti contenuti per la rilevazione di minacce rilasciati da Osman Demir:
Malware sospetto AWS Lambda mediante Rilevamento dell’User Agent (via proxy)
Questo rilevamento basato su Sigma ha traduzioni per 17 piattaforme SIEM, EDR e XDR.
La regola è allineata con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di Comando e Controllo con Protocollo di Livello Applicazione (T1071) come tecnica principale.
Per rilevare se ci sono stati attacchi al tuo sistema tramite una piattaforma AWS Lambda compromessa, consulta l’elenco completo delle regole disponibili nel repository di Threat Detection Marketplace della piattaforma SOC Prime. Desideroso di creare le tue regole Sigma? Unisciti al nostro programma Threat Bounty per condividere le tue regole Sigma e YARA tramite il repository di Threat Detection Marketplace e ricevere una ricompensa per il tuo prezioso contributo.
Visualizza Rilevamenti Unisciti a Threat Bounty
Cos’è Denonia?
Denonia è il primo malware nel suo genere nel senso che non ci sono ceppi documentati sviluppati specificamente per compromettere gli ambienti cloud AWS Lambda per l’installazione di cryptominer. Denonia contiene una variante personalizzata del cryptominer open-source XMRig, utilizzato per dirottare la macchina della vittima per parassitare sulle sue risorse e minare la valuta digitale, in particolare, Monero (XMR).
Il campione originale risale a gennaio 2022, indicando che gli attacchi durano da più di due mesi, con due campioni di Denonia disponibili oggi nei mercati darknet.
Analisi di Denonia
L’indagine su Denonia è ancora in corso, non avendo ancora rivelato come gli avversari distribuiscano il malware negli ambienti mirati (l’unica cosa nota è che Lambda non è stata violata tramite una vulnerabilità ). Cado Labs’ analisti ipotizzano che gli hacker possano seguire un percorso di compromissione delle chiavi di accesso e segretezza AWS per distribuire manualmente il malware.
Secondo i ricercatori, Denonia è codificato nel linguaggio Go. Gli avversari sono diventati esperti nel malware basato su GoLang, favorendo un aumento stabile del numero di ceppi di malware basati su Go disponibili nei mercati darknet e avvistati sul campo. I criminali informatici preferiscono i codici maligni in binario Go per una varietà di motivi, inclusa la loro versatilità e capacità di occultamento (i binari basati su Go sono piuttosto voluminosi, il che li rende in grado di bypassare numerosi programmi antivirus inosservati).
È evidente che Denonia è stato creato per mirare a un servizio di computazione senza server ed événement-driven Lambda, poiché verifica le variabili d’ambiente Lambda prima di eseguire. Tuttavia, secondo i dati attuali, può anche essere utilizzato per compromettere sistemi Linux, come le macchine Amazon Linux.
Registrati per la piattaforma Detection as Code di SOC Prime gratuitamente e porta le tue operazioni di scoperta e caccia alle minacce al livello successivo. Caccia istantaneamente le ultime minacce all’interno di oltre 25 tecnologie SIEM, EDR e XDR supportate, potenzia la consapevolezza degli attacchi più recenti nel contesto delle vulnerabilità sfruttate e della matrice MITRE ATT&CK, e ottimizza le tue operazioni di sicurezza.
