Un malware recientemente descubierto, llamado Denonia por el nombre de dominio utilizado por sus operadores, podría ser la primera instancia de malware dirigido específicamente a los entornos Lambda de Amazon Web, según los investigadores de Cado Labs, quienes lo detectaron por primera vez en los objetivos de Wild Services (AWS).
Matt Muir, Chris Doman, Al Carchrie y Paul Scott de Cado dijeron que si bien Denonia puede parecer relativamente inofensivo porque solo ejecuta software de criptominería, utiliza técnicas de vanguardia para eludir los métodos estándar de detección de redes virtuales y los controles de acceso, y demuestra cómo los actores maliciosos Utilice el conocimiento específico de la nube para explotar infraestructuras complejas y allanar el camino para futuros ataques más dañinos.
Dijeron que Lambda, un servicio informático basado en eventos sin servidor que permite a los usuarios ejecutar código para prácticamente cualquier tipo de aplicación o servicio de back-end sin tener que aprovisionar o administrar un servidor, podría resultar particularmente vulnerable al malware.
«Las organizaciones grandes y pequeñas están adoptando cada vez más funciones Lambda sin servidor», dice una declaración de divulgación. “Desde la perspectiva de la agilidad empresarial, serverless tiene ventajas significativas. Sin embargo, los tiempos de ejecución cortos, el gran volumen de ejecuciones y la naturaleza dinámica y efímera de las funciones de Lambda pueden dificultar la detección, investigación y respuesta a un posible compromiso”.
Denonia está codificado en el lenguaje de programación Go, también conocido como Golang, y contiene una variante personalizada del criptominero XMRig, junto con algunas características aún desconocidas. Go malware es cada vez más favorecido por los actores maliciosos, dijeron, debido a varias funciones específicas y algunas características del lenguaje que los piratas informáticos éticos pueden desafiar a analizar.
El equipo de Muir dijo que, aunque su análisis encontró que Denonia se creó específicamente para ejecutarse en entornos Lambda, no pudieron confirmar cómo se distribuyó, aunque especularon que se implementó manualmente a través del acceso de AWS comprometido y las claves secretas sí.
También señalaron que, si bien Denonia espera ejecutarse explícitamente en Lambda, también puede ejecutarse en otros entornos Linux; esto probablemente se deba a que los entornos Lambda sin servidor ejecutan Linux bajo el capó. Entonces, cuando el equipo lo ejecutó en su sandbox, todavía pensaban que lo estaban ejecutando en Lambda.
Los investigadores dijeron que la primera muestra que encontraron data de finales de febrero, pero desde entonces han encontrado una segunda muestra, que se subió a VirusTotal en enero.
En respuesta, Cado agregó a su plataforma Cado Response la capacidad de investigar y solucionar problemas de Denonia para entornos AWS ECS y AWS Lambda.
El aviso de divulgación completo, que incluye un análisis más profundo, capturas de pantalla e indicadores de compromiso (IoC) se puede encontrar en el sitio web de Cado.
El equipo de Cado confirmó que había hecho una divulgación completa a AWS, pero la organización aún no había respondido para confirmar la recepción. Computer Weekly contactó a AWS para comentar sobre el malware Denonia, pero la organización no había respondido al momento de la publicación.
Como se mencionó anteriormente, los servicios en la nube basados en Linux se están volviendo cada vez más vulnerables a los ataques cibernéticos gracias a su uso generalizado, con un estudio reciente de VMware que encontró evidencia de que los productos y equipos de seguridad están a cierta distancia de los actores maliciosos.
El informe, Divulgación de malware en entornos multinube basados en Linuxdijo que las contramedidas actuales se centran demasiado en la defensa contra las amenazas basadas en Windows, lo que deja a muchas implementaciones de nubes públicas y privadas vulnerables a ataques que de otro modo serían fáciles de detener.
