El malware Denonia puede ser el primero en apuntar a AWS Lambda

Un malware recientemente descubierto, denominado Denonia por el nombre de dominio utilizado por sus operadores, puede ser el primer caso de malware dirigido específicamente a los entornos Lambda de Amazon Web Services (AWS), según los investigadores de Cado Labs, quienes lo detectaron por primera vez en la naturaleza.

Matt Muir, Chris Doman, Al Carchrie y Paul Scott de Cado dijeron que si bien Denonia puede parecer relativamente inocuo, porque solo ejecuta software de criptominería, utiliza técnicas de vanguardia para evadir los métodos de detección estándar y los controles de acceso a la red virtual, y demuestra cómo los actores maliciosos están utilizando conocimientos específicos de la nube para explotar infraestructuras complejas, señalando el camino hacia futuros ataques más dañinos.

Dijeron que Lambda, que es un servicio informático basado en eventos sin servidor que permite a los usuarios ejecutar código para prácticamente cualquier tipo de aplicación o servicio de back-end sin tener que aprovisionar o administrar un servidor, puede resultar particularmente vulnerable a los malwares.

“Las organizaciones, tanto grandes como pequeñas, están aprovechando cada vez más las funciones sin servidor de Lambda”, dijeron en un aviso de divulgación. “Desde la perspectiva de la agilidad empresarial, la tecnología sin servidor tiene beneficios significativos. Sin embargo, las duraciones cortas del tiempo de ejecución, el gran volumen de ejecuciones y la naturaleza dinámica y efímera de las funciones de Lambda pueden dificultar la detección, investigación y respuesta a un posible compromiso”.

Denonia está codificado en el lenguaje de programación Go, también conocido como Golang, y contiene una variante personalizada del criptominero XMRig, junto con algunas funciones aún desconocidas. Los malware Go son cada vez más favorecidos por los actores maliciosos, dijeron, debido a varias funciones específicas y algunas características del lenguaje que pueden ser difíciles de analizar para los piratas informáticos éticos.

Más contenido para leer:  Most influential women in UK tech: The 2023 longlist

El equipo de Muir dijo que aunque su análisis encontró que Denonia estaba claramente diseñado para ejecutarse específicamente en entornos Lambda, no habían podido confirmar cómo se propagó, aunque especularon que podría implementarse manualmente a través de claves secretas y de acceso de AWS comprometidas.

También señalaron que, si bien Denonia espera específicamente ejecutarse en Lambda, es posible que se ejecute en otros entornos de Linux; esto probablemente se deba a que los entornos sin servidor de Lambda ejecutan Linux bajo el capó, por lo que cuando el equipo lo ejecutó en su sandbox todavía creía estaba corriendo en Lambda.

Los investigadores dijeron que la primera muestra que habían encontrado databa de finales de febrero, pero desde entonces encontraron una segunda muestra cargada en VirusTotal en enero.

En respuesta, Cado agregó la capacidad de investigar y remediar Denonia para entornos AWS ECS y AWS Lambda a su plataforma Cado Response.

El aviso de divulgación completo, que incluye un análisis más profundo, capturas de pantalla e indicadores de compromiso (IoC), se puede encontrar en el sitio web de Cado.

El equipo de Cado confirmó que había hecho una divulgación completa a AWS, pero que la organización aún no había respondido, más allá de confirmar su recibo. Computer Weekly contactó a AWS para comentar sobre el malware Denonia, pero la organización no había respondido al momento de la publicación.

Como se señaló anteriormente, los servicios en la nube basados ​​en Linux se están volviendo cada vez más susceptibles a los ataques cibernéticos gracias a su uso generalizado, con un estudio reciente de VMware que encontró evidencia de que los productos y equipos de seguridad estaban a cierta distancia de los actores maliciosos.

Más contenido para leer:  Nueve fallas de seguridad encontradas en infraestructura hospitalaria crítica

El informe, Exposición de malware en entornos multinube basados ​​en Linuxdijo que las contramedidas actuales están demasiado enfocadas en abordar las amenazas basadas en Windows, con el efecto de que muchas implementaciones de nubes públicas y privadas quedan vulnerables a ataques que de otro modo serían fáciles de detener.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales