Doğada, Amazon Web Services’in (AWS) Lambda sunucusuz bilgi işlem platformunu hedef alan türünün ilk örneği bir kötü amaçlı yazılım keşfedildi.
Cado Labs araştırmacısı Matt Muir, iletişim kurduğu etki alanının adından sonra “Denonia” olarak adlandırılan, “kötü amaçlı yazılım, tipik algılama önlemlerinden ve sanal ağ erişim denetimlerinden kaçmak için komut ve kontrol trafiği için daha yeni adres çözümleme teknikleri kullanıyor” dedi. dedim.
bu eser Siber güvenlik şirketi tarafından analiz edilen, 25 Şubat 2022’de VirusTotal veritabanına “python” adıyla yüklendi ve 64-bit olarak paketlendi. ELF yürütülebilir.
Bununla birlikte, Denonia Go’da programlandığından ve XMRig kripto para madenciliği yazılımının özelleştirilmiş bir varyantını barındırdığından dosya adı bir yanlış isimdir. Bununla birlikte, AWS Erişimi ve Gizli Anahtarların güvenliğinin ihlal edilmiş olabileceğinden şüphelenilse de, ilk erişim modu bilinmiyor.
Kötü amaçlı yazılımın bir diğer dikkate değer özelliği, HTTPS üzerinden DNS kullanmasıdır (DoH) komut ve kontrol sunucusuyla (“gw.denonia”) iletişim kurmak için[.]xyz”) trafiği şifreli DNS sorguları içinde gizleyerek.
Bununla birlikte, “python” şimdiye kadar ortaya çıkarılan Denonia’nın tek örneği değil, Cado Labs’in ikinci bir örnek bulmasıyla ne oldu (“” adlı)bc50541af8fe6239f0faa7c57a44d119.virüs“) 3 Ocak 2022’de VirusTotal’a yüklendi.
Muir, “Bu ilk örnek, yalnızca kripto madenciliği yazılımını çalıştırdığı için oldukça zararsız olsa da, saldırganların karmaşık bulut altyapısından yararlanmak için gelişmiş buluta özgü bilgileri nasıl kullandığını ve gelecekteki potansiyel, daha hain saldırıların göstergesi olduğunu gösteriyor.” Dedi.
