Ανακαλύφθηκε το Πρώτο Malware που Κάνει Τargeting τη Serverless Πλατφόρμα Lambda της AWS

Ανακαλύφθηκε ένα πρώτο είδος κακόβουλου λογισμικού που στοχεύει την υπολογιστική serverless πλατφόρμα Lambda της Amazon Web Services (AWS).

Ονομάστηκε "Denonia" από το όνομα του domain με το οποίο επικοινωνεί, "το κακόβουλο λογισμικό χρησιμοποιεί νεότερες τεχνικές ανάλυσης διευθύνσεων για εντολές και έλεγχο της κυκλοφορίας για να αποφύγει τυπικά μέτρα ανίχνευσης και ελέγχους πρόσβασης virtual network", δήλωσε ο ερευνητής της Cado Labs, Matt Muir.

Το artifact που αναλύθηκε από την εταιρεία κυβερνοασφάλειας ανέβηκε στη βάση δεδομένων VirusTotal στις 25 Φεβρουαρίου 2022, με το όνομα "python" και συσκευάστηκε ως εκτελέσιμο ELF 64-bit.

Ωστόσο, το όνομα αρχείου είναι εσφαλμένη ονομασία, καθώς η Denonia είναι προγραμματισμένη στο Go και διαθέτει μια προσαρμοσμένη παραλλαγή του λογισμικού εξόρυξης κρυπτονομισμάτων XMRig. Ο τρόπος αρχικής πρόσβασης είναι άγνωστος, αν και υπάρχει υποψία ότι μπορεί να περιλάμβανε τον συμβιβασμό της πρόσβασης AWS και των μυστικών κλειδιών.

                                                              

Ένα άλλο αξιοσημείωτο χαρακτηριστικό του κακόβουλου λογισμικού είναι η χρήση του DNS μέσω HTTPS (DoH) για την επικοινωνία με τον διακομιστή εντολών και ελέγχου του ("gw.denonia[.]xyz") αποκρύπτοντας την κίνηση μέσα σε κρυπτογραφημένα queries DNS.

Σε μια δήλωση που κοινοποιήθηκε στο The Hacker News, η Amazon τόνισε ότι "το Lambda είναι ασφαλές από προεπιλογή και το AWS συνεχίζει να λειτουργεί όπως έχει σχεδιαστεί" και ότι οι χρήστες που παραβιάζουν την πολιτική αποδεκτής χρήσης (AUP) θα απαγορεύεται να χρησιμοποιούν τις υπηρεσίες του.

Ενώ η Denonia έχει σχεδιαστεί ξεκάθαρα για να στοχεύει το AWS Lambda αφού ελέγχει για μεταβλητές περιβάλλοντος Lambda πριν από την εκτέλεσή του, η Cado Labs διαπίστωσε επίσης ότι μπορεί να εκτελεστεί έξω από αυτό σε ένα τυπικό Linux server περιβάλλον.

«Το λογισμικό που περιγράφεται από τον ερευνητή δεν εκμεταλλεύεται καμία αδυναμία στο Lambda ή σε οποιαδήποτε άλλη υπηρεσία AWS», είπε η εταιρεία. "Δεδομένου ότι το λογισμικό βασίζεται εξ ολοκλήρου σε διαπιστευτήρια λογαριασμού που αποκτήθηκαν με δόλο, είναι παραμόρφωση των γεγονότων ακόμη και να το αναφέρουμε ως κακόβουλο λογισμικό επειδή δεν έχει τη δυνατότητα να αποκτήσει από μόνο του μη εξουσιοδοτημένη πρόσβαση σε οποιοδήποτε σύστημα."

Ωστόσο, το "python" δεν είναι το μόνο δείγμα Denonia που έχει ανακαλυφθεί μέχρι στιγμής, η Cado Labs βρήκε ένα δεύτερο δείγμα (με το όνομα "bc50541af8fe6239f0faa7c57a44d119.virus") που ανέβηκε στο VirusTotal στις 3 Ιανουαρίου 2022.

«Αν και αυτό το πρώτο δείγμα είναι αρκετά αβλαβές καθώς εκτελεί μόνο λογισμικό εξόρυξης κρυπτονομισμάτων, δείχνει πώς οι επιτιθέμενοι χρησιμοποιούν προηγμένες γνώσεις ειδικά για το cloud για να εκμεταλλευτούν περίπλοκες υποδομές cloud και είναι ενδεικτικό πιθανών μελλοντικών, πιο σοβαρών επιθέσεων», είπε ο Muir.