Обнаружен криптомайнер Denonia для бессерверной среды AWS Lambda

Специалисты из компании Cado Security обнаружили вредоносное ПО, специально предназначенного для работы в бессерверных средах AWS Lambda и майнинга криптовалюты. Как признались в Cado Security, команда исследователей не совсем понимает, как развертывается вредоносное программное обеспечение, получившее название Denonia.

«Это может быть просто вопрос компрометации доступа и секретных ключей AWS с последующим ручным развертыванием в скомпрометированных средах Lambda», — предположили эксперты.

Хотя ИБ-специалисты зафиксировали работу вредоноса только на AWS Lambda, его можно заставить работать и в Linux-среде.

Код вредоноса написан на языке программирования Google Go, который популярен среди разработчиков вредоносных программ в связи с легкостью использования для создания кроссплатформенных автономных статически связанных исполняемых файлов. Программный код может быть монолитным BLOB-объектом, затрудняя обратную разработку, а строки могут не хранятся с нулевыми терминаторами в стиле C.

Denonia содержит настроенный вариант XMRig для майнинга криптовалюты Monero «наряду с другими неизвестными функциями». Во время динамического анализа Denonia остановила выполнение и зафиксировало ошибку о том, что переменная среды Lambda AWS не определена. Исследователи нашли 64-битный исполняемый файл ELF, ориентированный на архитектуру x86-64. Файл использует ряд сторонних библиотек, в том числе одну конкретную для обеспечения выполнения в средах AWS Lambda.

Вредоносное ПО включает несколько сторонних библиотек Go, в том числе инструменты для написания функций Lambda, помощники для получения контекстной информации из запроса на вызов Lambda, общие комплекты разработки программного обеспечения AWS для Go и DNS-over-HTTPS (DoH) в Go. DoH шифрует DNS-запросы и отправляет запросы доменного имени в виде обычного HTTPS-трафика. Данный подход не позволяет AWS просматривать DNS-запросы, снижая шансы вредоносного ПО быть обнаруженным.