Trong một báo cáo, các nhà nghiên cứu từ Cado Security chỉ rõ mối de dọa đến từ phần mềm độc hại Denonia hiện đang được sử dụng trong các cuộc tấn công có chủ đích chống lại Lambda.
AWS Lambda là một dịch vụ điện toán phi máy chủ, theo định hướng sự kiện, giúp bạn chạy mã cho hầu hết mọi loại ứng dụng hoặc dịch vụ backend mà không cần cung cấp hay quản lý máy chủ.
Theo Cado Security, dịch vụ đám mây AWS Lambda được sử dụng bởi các doanh nghiệp vừa và nhỏ trên toàn thế giới có thể đối mặt với nguy cơ bị lây nhiễm bởi phần mềm độc hại Denonia. Mặc dù các tên tệp được đặt là python, tuy nhiên, phần mềm độc hại này được viết bằng ngôn ngữ lập trình Go.
Trong quá trình phân tích, Denonia ghi lại một lỗi, “[_LAMBDA_SERVER_PORT AWS _LAMBDA_RUNTIME_API] is not defined.“
Nhà nghiên cứu cho biết: “Điều này thu hút sự quan tâm của chúng tôi vì các biến môi trường này được thiết kế dành riêng cho Lambda, cung cấp cho chúng tôi một số gợi ý về mục tiêu mà phần mềm độc hại này nhắm đến để thực thi”.
Sau khi phân tích, các nhà nghiên cứu nhận thấy Denonia là một tệp ELF 64-bit có thể thực thi. Phần mềm độc hại này cũng sử dụng các thư viện của bên thứ ba trên GitHub, bao gồm thư viện để viết các hàm Lambda và truy xuất dữ liệu từ các yêu cầu gọi Lambda.
Đáng chú ý, Denonia sử dụng DNS qua HTTPS (DoH) thông qua thư viện doh-go, nhằm mục đích ngăn AWS phát hiện tra cứu các miền độc hại.
Cado Security không chắc chắn phương pháp tấn công có thể sử dụng để triển khai phần mềm độc hại vào môi trường Lambda. Tuy nhiên, nhóm nghiên cứu suy đoán, tin tặc sử dụng tập lệnh để lấy thông tin đăng nhập hoặc khóa bí mật từ các thiết lập được bảo vệ an ninh kém.
Nhà nghiên cứu cho biết: “Trong quá trình phân tích động, chúng tôi phát hiện ra rằng phần mềm độc hại tiếp tục thực thi bên ngoài môi trường Lambda. Chúng tôi nghi ngờ điều này là vì môi trường Lambda “serverless” sử dụng Linux, vì vậy phần mềm độc hại tin rằng nó đang được chạy trong Lambda mặc dù được chạy trong hộp cát của chúng tôi.“
Phần mềm độc hại thực thi phiên bản được tùy chỉnh của XMRig trong bộ nhớ. XMRig là một công cụ khai thác được sử dụng để khai thác tiền điện tử Monero bằng cách tận dụng tài nguyên của máy tính. Denonia có khả năng sử dụng tài nguyên máy tính để tạo ra các đồng tiền có thể bán được. Điều này cho thấy tài chính chính là mục tiêu của nhóm đứng sau phần mềm độc hại.
Các nhà nghiên cứu cho biết: “Mặc dù mẫu phần mềm độc hại này chỉ chạy nhằm mục đích đào tiền mã hóa, nhưng nó cho thấy hacker đang sử dụng nhiều kỹ thuật nâng cao nhắm vào dịch vụ đám mây để khai thác cơ sở hạ tầng đám mây phức tạp và là dấu hiệu của các cuộc tấn công bất hợp pháp tiềm ẩn trong tương lai.“
Theo ZDNet