セキュリティ研究者は、Amazon Web Services (AWS) Lambda 環境を標的とするように作られた、Denonia と呼ばれる特注のマルウェアに関連する不安な活動を報告しています。このマルウェアは Go 言語で書かれており、一度システムに入ると、Monero 暗号通貨の採掘のために XMRig 暗号採掘ファイルをダウンロード、インストール、実行するために使用されます。
Denonia マルウェアを検出
AWS Lambda マルウェア、別名 Denonia は、C2 サーバーに接続するために特定のユーザーエージェントを使用します。Denonia 暗号マイナーの存在を検出するために、以下の脅威検出コンテンツを利用してください。 オスマン・デミル:
ユーザーエージェントの検出による疑わしい AWS Lambda マルウェア(プロキシを介して)
この Sigma ベースの検出は、17 の SIEM、EDR & XDR プラットフォームに翻訳されています。
このルールは最新の MITRE ATT&CK® フレームワーク v.10 に準拠しており、プライマリ技術としてアプリケーション層プロトコル(T1071)を用いた指揮統制戦術に対応しています。
AWS Lambda プラットフォームを通じた攻撃がシステムに行われたかどうかを検出するには、SOC Prime のプラットフォームの脅威検出マーケットプレイスリポジトリにあるルールの全リストを参照してください。独自の Sigma ルールを作成したいですか?当社の脅威バウンティプログラムに参加して、Sigma および YARA ルールを脅威検出マーケットプレイスリポジトリで共有し、貴重な貢献に報いることができます。
Denonia とは何ですか?
Denonia は、AWS Lambda クラウド環境を特に危険にさらすために開発された記録された株のない点で初めてのマルウェアです。Denonia は、被害者のマシンを乗っ取ってそのリソースに寄生し、デジタル通貨、つまり Monero(XMR)を採掘するために使用されるオープンソースの XMRig 暗号採掘ソフトウェアのカスタマイズされたバリアントを含んでいます。
オリジナルのサンプルは 2022 年 1 月にさかのぼり、攻撃は 2 か月以上続いていることを示しており、現在ダークネット市場には Denonia のサンプルが 2 つあります。
Denonia の分析
Denonia の調査はまだ進行中であり、敵がどのようにしてマルウェアを標的環境に配置するかを明らかにすることには至っていません(既知のことは、Lambda は脆弱性を通じて侵害されていないということです)。 カド・ラボのアナリストは、ハッカーが AWS アクセスおよびシークレットキーを侵害し、結果として手動でマルウェアを展開している可能性があると推測しています。
研究者によると、Denonia は Go 言語でコーディングされています。攻撃者は Go 言語ベースのマルウェアに対して賢さを増し、ダークネット市場で利用可能な Go ベースのマルウェア株の数を着実に増やしており、野生でも発見されています。サイバー犯罪者は、多様性と秘匿性を理由に、Go バイナリの悪意のあるコードを好んでいます。
Denonia がサーバーレス、イベント駆動のコンピューティングサービス Lambda を標的に作られたことは明らかであり、実行前に Lambda 環境変数を確認します。しかし、現時点のデータによれば、Amazon Linux ボックスなどの Linux システムを侵害するために活用されることもあります。
登録する SOC Prime の Detection as Code プラットフォーム に無料で参加し、脅威の発見と脅威ハンティングの運用を次のレベルへ引き上げましょう。25 以上のサポートされている SIEM、EDR、および XDR テクノロジーで最新の脅威を瞬時に追跡し、悪用された脆弱性と MITRE ATT&CK マトリックスのコンテキストで最新の攻撃に対する認識を高め、セキュリティの運用を強化します。
