Denonia Malware

Eine aufdringliche Malware namens Denonia wird bei Bedrohungsoperationen verwendet, die auf Lambda-Installationen von Amazon Web Services (AWS) abzielen. Bisher scheint das Ziel der Angreifer finanziell motiviert zu sein, wobei Denonia den Einsatz einer eigenen XMRig - Version verfolgt. XMRig ist ein beliebter Krypto-Miner, der häufig von Cyberkriminellen verwendet wird, um die Hardware-Ressourcen des angegriffenen Geräts zu kapern, um nach der Kryptowährung Monero zu schürfen.

Nach der Analyse der Bedrohung stellten die Forscher fest, dass Denonia trotz des Dateinamens Python mit der Programmiersprache Go erstellt wurde. Die Malware wird als ausführbare 64-Bit-ELF-Datei abgelegt und stützt sich auf mehrere GitHub-Bibliotheken von Drittanbietern, um ihre schädlichen Aktionen auszuführen. Einige der benötigten Bibliotheken betreffen das Schreiben von Lambda-Funktionen und das Extrahieren von Daten aus Lambda-Aufrufanforderungen. Lambda selbst ist ein beliebter serverloser, ereignisgesteuerter Computerdienst, der von Amazon angeboten wird.

Die Forscher spekulieren, dass Denonias seltsame Verwendung von DNS über HTTPS (DOH), die über die doh-go-Bibliothek erreicht wurde, als Gegenmaßnahme implementiert wurde, um AWS daran zu hindern, die Lookups der Bedrohung aufgrund seiner unsicheren Domänen zu erkennen. Derzeit wurden keine schlüssigen Beweise für den genauen Infektionsvektor gefunden, der bei den Angriffen mit Denonia-Malware verwendet wurde.