Un malware appena scoperto, soprannominato Denonia dal nome del dominio usato dai suoi operatori, potrebbe essere il primo caso di file malevolo specificamente mirato agli ambienti Lambda di Amazon Web Services (AWS), secondo i ricercatori di Cado Labs, che per primi lo hanno individuato in natura.
Matt Muir, Chris Doman, Al Carchrie e Paul Scott di Cado hanno detto che mentre Denonia può apparire relativamente innocuo, perché esegue solo software di crittografia, utilizza tecniche all’avanguardia per eludere i metodi di rilevamento standard e i controlli di accesso alla rete virtuale, e dimostra come gli attori maligni stanno utilizzando la conoscenza specifica del cloud per sfruttare le infrastrutture complesse, indicando la strada per futuri attacchi più dannosi.
Lambda, un servizio di calcolo senza server, event-driven, consente agli utenti di eseguire codice per qualsiasi tipo di app o servizio backend senza dover fornire o gestire un server e può rivelarsi particolarmente vulnerabile ai malware.
“Le organizzazioni sia grandi che piccole stanno sempre più sfruttando le funzioni serverless Lambda. Dal punto di vista dell’agilità del business, serverless ha vantaggi significativi. Tuttavia, le brevi durate di esecuzione, il puro volume di esecuzioni e la natura dinamica ed effimera delle funzioni Lambda possono rendere difficile rilevare, indagare e rispondere a un potenziale compromesso.”
Denonia è codificato nel linguaggio di programmazione Go, alias Golang, e contiene una variante personalizzata del cryptominer XMRig, insieme ad alcune funzioni ancora sconosciute. I malware Go stanno diventando sempre più utilizzati dagli attori maligni, hanno detto, a causa di varie funzioni specifiche e alcune caratteristiche del linguaggio che possono essere difficili da analizzare per gli hacker etici.
Il team di Muir ha detto che anche se la loro analisi ha trovato Denonia è stata chiaramente progettata per essere eseguita specificamente all’interno degli ambienti Lambda, non sono stati in grado di confermare come è stata diffusa, anche se hanno ipotizzato che possa essere distribuita manualmente tramite accesso AWS compromesso e chiavi segrete.
Hanno anche notato che mentre Denonia si aspetta specificamente di essere eseguito in Lambda, è possibile che venga eseguito in altri ambienti Linux, questo è probabile perché gli ambienti serverless Lambda eseguono Linux sotto il “cofano”, quindi quando il team l’ha eseguito nella sua sandbox ha creduto ancora che fosse in esecuzione in Lambda.
I ricercatori hanno dichiarato che il primo campione che avevano trovato risale alla fine di febbraio, ma da allora hanno trovato un secondo campione caricato su VirusTotal a gennaio.
In risposta, Cado ha aggiunto la capacità di indagare e porre rimedio a Denonia per entrambi gli ambienti AWS ECS e AWS Lambda alla sua piattaforma Cado Response.
L’avviso di divulgazione completo, compresa un’analisi più approfondita, screenshot e indicatori di compromissione (IoC), può essere trovato sul sito web di Cado.
Il team di Cado ha confermato di aver fatto una comunicazione completa a AWS, ma che l’organizzazione non ha ancora risposto, oltre a confermare la sua ricezione. Computer Weekly ha raggiunto AWS per un commento sul malware Denonia, ma l’organizzazione non ha risposto al momento della pubblicazione.
Come notato in precedenza, i servizi cloud basati su Linux stanno diventando sempre più suscettibili di attacchi informatici grazie al suo uso diffuso, con un recente studio di VMware che ha trovato la prova che i prodotti di sicurezza e le squadre erano in ritardo rispetto agli attori maligni.
Il rapporto, Exposing malware in ambienti multicloud basati su Linux, ha detto che le attuali contromisure sono troppo pesantemente concentrate sull’affrontare le minacce basate su Windows, con l’effetto che molte distribuzioni di cloud pubbliche e private sono lasciate vulnerabili agli attacchi che altrimenti sarebbero facili da fermare.
