Un malware unique en son genre ciblant la plate-forme informatique sans serveur Lambda d’Amazon Web Services (AWS) a été découvert dans la nature.

Surnommé « Denonia » d’après le nom du domaine avec lequel il communique, « le logiciel malveillant utilise de nouvelles techniques de résolution d’adresses pour le trafic de commande et de contrôle afin d’échapper aux mesures de détection typiques et aux contrôles d’accès au réseau virtuel »,

L’artefact analysé par la société de cybersécurité a été téléchargé dans la base de données VirusTotal le 25 février 2022, portant le nom de « python » et emballé sous la forme d’un exécutable ELF 64 bits.

Cependant, le nom de fichier est un abus de langage, car Denonia est programmé en Go et héberge une variante personnalisée du logiciel d’extraction de crypto-monnaie XMRig. Cela dit, le mode d’accès initial est inconnu, bien qu’il soit suspecté qu’il ait pu impliquer la compromission d’AWS Access et des clés secrètes.

Une autre caractéristique notable du logiciel malveillant est son utilisation du DNS sur HTTPS (DoH) pour communiquer avec son serveur de commande et de contrôle (« gw.denonia[.]xyz ») en masquant le trafic dans les requêtes DNS cryptées.

Dans une déclaration partagée avec breachtrace, Amazon a souligné que « Lambda est sécurisé par défaut, et AWS continue de fonctionner comme prévu », et que les utilisateurs violant sa politique d’utilisation acceptable (AUP) se verront interdire d’utiliser ses services.

Bien que Denonia ait été clairement conçu pour cibler AWS Lambda puisqu’il vérifie les variables d’environnement Lambda avant son exécution, Cado Labs a également découvert qu’il pouvait être exécuté en dehors de celui-ci dans un environnement de serveur Linux standard.

« Le logiciel décrit par le chercheur n’exploite aucune faiblesse de Lambda ou de tout autre service AWS », a déclaré la société. « Étant donné que le logiciel repose entièrement sur des informations d’identification de compte obtenues frauduleusement, c’est une déformation des faits que de le qualifier même de malware, car il n’a pas la capacité d’obtenir par lui-même un accès non autorisé à n’importe quel système. »

Cependant, « python » n’est pas le seul échantillon de Denonia découvert jusqu’à présent, avec Cado Labs trouvant un deuxième échantillon (nommé « bc50541af8fe6239f0faa7c57a44d119.virus ») qui a été téléchargé sur VirusTotal le 3 janvier 2022.

« Bien que ce premier échantillon soit assez inoffensif dans la mesure où il n’exécute que des logiciels de crypto-mining, il montre comment les attaquants utilisent des connaissances avancées spécifiques au cloud pour exploiter une infrastructure cloud complexe, et indique d’éventuelles futures attaques plus néfastes »,

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *