Một phần mềm độc hại đầu tiên nhắm mục tiêu vào nền tảng máy tính không máy chủ Lambda của Amazon Web Services (AWS) đã được phát hiện trong tự nhiên.
Được đặt tên là “Denonia” theo tên miền mà nó giao tiếp, “phần mềm độc hại sử dụng các kỹ thuật phân giải địa chỉ mới hơn để ra lệnh và kiểm soát lưu lượng truy cập nhằm trốn tránh các biện pháp phát hiện điển hình và kiểm soát truy cập mạng ảo”, nhà nghiên cứu Matt Muir của Cado Labs cho biết.
Tạo tác được phân tích bởi công ty an ninh mạng đã được tải lên cơ sở dữ liệu VirusTotal vào ngày 25 tháng 2 năm 2022, có tên là “python” và được đóng gói dưới dạng tệp thực thi ELF 64-bit.
Tuy nhiên, tên tệp là một từ nhầm lẫn, vì Denonia được lập trình trong Go và chứa một biến thể tùy chỉnh của phần mềm khai thác tiền điện tử XMRig. Điều đó nói rằng, phương thức truy cập ban đầu là không xác định, mặc dù người ta nghi ngờ rằng nó có thể liên quan đến sự thỏa hiệp của AWS Access và Secret Key.
Một tính năng đáng chú ý khác của phần mềm độc hại là sử dụng DNS qua HTTPS (DoH) để giao tiếp với máy chủ điều khiển và chỉ huy của nó (“gw.denonia[.]xyz “) bằng cách ẩn lưu lượng trong các truy vấn DNS được mã hóa.
Tuy nhiên, “python” không phải là mẫu Denonia duy nhất được khai quật cho đến nay, điều gì xảy ra với việc Cado Labs tìm thấy mẫu thứ hai (có tên “bc50541af8fe6239f0faa7c57a44d119.virus”) đã được tải lên VirusTotal vào ngày 3 tháng 1 năm 2022.
“Mặc dù mẫu đầu tiên này khá vô hại ở chỗ nó chỉ chạy phần mềm khai thác tiền điện tử, nhưng nó cho thấy những kẻ tấn công đang sử dụng kiến thức nâng cao về đám mây cụ thể như thế nào để khai thác cơ sở hạ tầng đám mây phức tạp và là dấu hiệu của các cuộc tấn công bất chính tiềm tàng hơn trong tương lai”, Muir nói.
.
