Un malware unique en son genre ciblant la plate-forme informatique sans serveur Lambda d’Amazon Web Services (AWS) a été découvert dans la nature.
Surnommé « Denonia » d’après le nom du domaine avec lequel il communique, « le malware utilise de nouvelles techniques de résolution d’adresses pour le trafic de commande et de contrôle afin d’échapper aux mesures de détection typiques et aux contrôles d’accès au réseau virtuel », Matt Muir, chercheur chez Cado Labs. mentionné.
le artefact analysé par la société de cybersécurité a été téléchargé dans la base de données VirusTotal le 25 février 2022, portant le nom « python » et conditionné en 64 bits ELFE exécutable.
Cependant, le nom de fichier est un abus de langage, car Denonia est programmé en Go et héberge une variante personnalisée du logiciel d’extraction de crypto-monnaie XMRig. Cela dit, le mode d’accès initial est inconnu, bien qu’il soit suspecté qu’il ait pu impliquer la compromission d’AWS Access et des clés secrètes.
Une autre caractéristique notable du logiciel malveillant est son utilisation de DNS sur HTTPS (DoH) pour communiquer avec son serveur de commande et de contrôle (« gw.denonia[.]xyz ») en masquant le trafic dans les requêtes DNS cryptées.
Cependant, « python » n’est pas le seul échantillon de Denonia découvert jusqu’à présent, avec Cado Labs trouvant un deuxième échantillon (nommé « bc50541af8fe6239f0faa7c57a44d119.virus« ) qui a été téléchargé sur VirusTotal le 3 janvier 2022.
« Bien que ce premier échantillon soit assez inoffensif dans la mesure où il n’exécute que des logiciels de crypto-mining, il montre comment les attaquants utilisent des connaissances avancées spécifiques au cloud pour exploiter une infrastructure cloud complexe, et est révélateur d’attaques potentielles futures et plus néfastes », a déclaré Muir.