데노니아 멀웨어 탐지: Go 기반 래퍼가 AWS Lambda를 위협하여 모네로 채굴기 배포

보안 연구원들은 Amazon Web Services (AWS) Lambda 환경을 대상으로 한 맞춤형 멀웨어 Denonia와 관련된 우려스러운 활동을 보고했습니다. 이 멀웨어는 Go 언어로 작성되었습니다. 시스템에 들어온 후, Monero 암호화폐 채굴을 위한 XMRig 크립토마이닝 파일을 다운로드, 설치 및 실행하는 데 사용됩니다.

Denonia 멀웨어 탐지

Denonia로 알려진 AWS Lambda 멀웨어는 C2 서버에 연결하기 위해 특정 사용자 에이전트를 사용합니다. Denonia 크립토마이너의 존재 흔적을 탐지하기 위해, 다음의 위협 탐지 콘텐츠를 사용하세요. Osman Demir:

사용자 에이전트 탐지를 통한 의심스러운 AWS Lambda 멀웨어 (프록시 경유)

이 Sigma 기반 탐지는 17개의 SIEM, EDR & XDR 플랫폼의 번역을 포함하고 있습니다.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 연계되어, 응용 계층 프로토콜 (T1071)을 주요 기술로 사용하는 명령 및 제어 전술에 대응합니다.

손상된 AWS Lambda 플랫폼을 통해 시스템에 대한 공격이 있었는지를 탐지하려면, SOC Prime 플랫폼의 Threat Detection Marketplace 저장소에 있는 전체 규칙 목록을 참조하세요. 자신의 Sigma 규칙을 만들고 싶습니까? Threat Bounty 프로그램에 가입하여 Sigma 및 YARA 규칙을 Threat Detection Marketplace 저장소에 공유하고 귀하의 귀중한 기여에 대한 보상을 받으세요.

탐지 보기 Threat Bounty에 가입하기

Denonia란 무엇입니까?

Denonia는 암호화폐 채굴기를 배포하기 위해 AWS Lambda 클라우드 환경을 특별히 손상시키기 위해 개발된 문서화된 종류가 없는, 일종의 최초의 멀웨어입니다. Denonia는 오픈 소스 XMRig 크립토마이너의 사용자 정의 변종을 포함하며, 피해자의 기계를 장악하여 자원을 기생하는 데 사용되며 디지털 통화, 즉 Monero(XMR)를 채굴하는 데 사용됩니다.

원본 샘플은 2022년 1월로 거슬러 올라가며, 오늘날 두 개의 Denonia 샘플이 암흑 시장에서 이용 가능하며, 공격이 2개월 이상 동안 지속되고 있음을 나타냅니다.

Denonia 분석

Denonia 조사는 여전히 진행 중이며, 적대자들이 표적 환경에 멀웨어를 배포하는 방법을 아직 밝히지 못했습니다 (Lambda가 취약점을 통해 침해되지 않았다는 것만 알려져 있습니다). Cado Labs’ 분석가들은 해커들이 AWS 액세스 및 비밀 키를 손상시키는 경로를 따르고 있는 것일 수도 있다고 추측합니다.

연구원들에 따르면, Denonia는 Go 언어로 코드화되어 있습니다. Adversaries는 GoLang 기반 멀웨어를 점점 더 영리하게 활용하고 있으며, 해커들은 Go 기반 멀웨어 종류의 안정적인 증가를 촉진, 온라인 및 암흑 시장에서 점점 더 많이 관찰됩니다. 사이버 범죄자들은 다양한 이유로 Go 바이너리에서 악성 코드를 선호하는데, 그 중 하나는 그들의 다재다능함과 스텔스성 때문입니다 (Go 기반 바이너리는 상당히 크므로 여러 안티바이러스 프로그램을 무시하고 우회할 수 있습니다).

Denonia가 서버리스, 이벤트 기반 컴퓨팅 서비스 Lambda를 겨냥하여 만들어졌으며, 실행하기 전에 Lambda 환경 변수를 확인하는 것이 분명합니다. 그러나 현재 데이터에 따르면 Amazon Linux 상자와 같은 Linux 시스템을 손상시키는 데에도 활용할 수 있습니다.

등록하기 SOC Prime의 Detection as Code 플랫폼 에 무료로 가입하여 위협 발견 및 위협 사냥 작업을 한 단계 더 끌어올리세요. 25개 이상의 지원되는 SIEM, EDR 및 XDR 기술 내에서 최신 위협을 즉시 사냥하고, 악용된 취약성과 MITRE ATT&CK 매트릭스와 관련된 가장 최신 공격들에 대한 인식을 향상시키며 보안 작업을 간소화합니다.