Eerste malware-targeting AWS Lambda serverloos platform ontdekt

Eerste malware-targeting AWS Lambda serverloos platform ontdekt Nachrichten

Er is in het wild een eersteklas malware ontdekt die zich richt op het Lambda-computerplatform van Amazon Web Services (AWS).

„Denonia“ genoemd naar de naam van het domein waarmee het communiceert, „gebruikt de malware nieuwere adresresolutietechnieken voor commando- en controleverkeer om typische detectiemaatregelen en toegangscontroles voor virtuele netwerken te omzeilen“, legt Cado Labs-onderzoeker Matt Muir uit. zei.

De artefact geanalyseerd door het cyberbeveiligingsbedrijf, werd op 25 februari 2022 geüpload naar de VirusTotal-database, met de naam „python“ en verpakt als een 64-bits ELF uitvoerbaar.

De bestandsnaam is echter een verkeerde benaming, omdat Denonia is geprogrammeerd in Go en een aangepaste variant van de XMRig-software voor cryptocurrency-mining herbergt. Dat gezegd hebbende, is de manier van initiële toegang onbekend, hoewel het vermoeden bestaat dat het om het compromitteren van AWS Access en Secret Keys gaat.

Een ander opvallend kenmerk van de malware is het gebruik van DNS via HTTPS (DoH) voor communicatie met zijn command-and-control-server („gw.denonia[.]xyz“) door het verkeer binnen versleutelde DNS-query’s te verbergen.

„python“ is echter niet het enige monster van Denonia dat tot nu toe is opgegraven, wat met Cado Labs die een tweede monster vond (genaamd „bc50541af8fe6239f0faa7c57a44d119.virus„) die op 3 januari 2022 naar VirusTotal is geüpload.

„Hoewel dit eerste voorbeeld vrij onschuldig is omdat het alleen crypto-miningsoftware draait, laat het zien hoe aanvallers geavanceerde cloudspecifieke kennis gebruiken om complexe cloudinfrastructuur te exploiteren, en is het indicatief voor mogelijke toekomstige, meer snode aanvallen“, zei Muir.

David
Rate author
Hackarizona