Los investigadores de seguridad han descubierto el primer malware desarrollado específicamente para atacar los entornos de nube Lambda de Amazon Web Services (AWS) con criptomineros.
AWS Lambda es una plataforma informática sin servidor para ejecutar código de cientos de servicios de AWS y aplicaciones de software como servicio (SaaS) sin administrar servidores.
El nuevo malware, denominado Denonia por los investigadores de Cado Security que detectaron que se usaba en ataques limitados, es un envoltorio basado en Go diseñado para implementar un criptominero XMRig personalizado para minar la criptomoneda Monero.
La muestra que encontraron fue un ejecutable ELF de 64 bits dirigido a sistemas x86-64 cargado en VirusTotal en febrero. Más tarde descubrieron una segunda muestra cargada un mes antes, en enero, lo que sugiere que estos ataques abarcan al menos un par de meses.
«Aunque esta primera muestra es bastante inocua en el sentido de que solo ejecuta software de criptominería, demuestra cómo los atacantes están utilizando conocimientos avanzados específicos de la nube para explotar la compleja infraestructura de la nube, y es indicativo de posibles ataques futuros más nefastos», dijeron los investigadores de Cado. dicho.
Probablemente implementado usando claves robadas
Lo que Cado Security no pudo encontrar fue cómo los atacantes pudieron implementar su malware en entornos comprometidos.
Sin embargo, sospechan que los piratas informáticos probablemente usaron claves secretas y de acceso de AWS robadas o filtradas, una táctica utilizada anteriormente para entregar scripts bash diseñados para descargar y ejecutar mineros. Esto condujo a $45,000 en cargos después de que el minero estuvo activo durante algunas semanas.
Netsparker combina la gestión de la seguridad de las aplicaciones con integraciones e informes que mejoran el flujo de trabajo de su equipo.
Esto muestra que, si bien estos entornos de tiempo de ejecución administrados reducen la superficie de ataque, las credenciales extraviadas o robadas pueden generar pérdidas financieras masivas rápidamente debido a la difícil detección de un posible compromiso.
«Según el modelo de responsabilidad compartida de AWS, AWS protege el entorno de ejecución subyacente de Lambda, pero depende del cliente proteger las funciones por sí mismo», agregaron los investigadores.
También en casa en sistemas Linux
Si bien Denonia se diseñó claramente para apuntar a AWS Lambda, ya que verifica las variables de entorno de Lambda antes de la ejecución, Cado Security también descubrió que puede ejecutarse sin problemas en al menos algunos sistemas Linux (por ejemplo, cajas de Amazon Linux).
«A pesar de la presencia de esto, descubrimos durante el análisis dinámico que la muestra continuará felizmente ejecutándose fuera de un entorno Lambda (es decir, en una caja de Amazon Linux estándar)», dijeron los investigadores.
«Sospechamos que es probable que esto se deba a los entornos «sin servidor» de Lambda que usan Linux bajo el capó, por lo que el malware creyó que se estaba ejecutando en Lambda (después de que establecimos manualmente las variables de entorno requeridas) a pesar de ejecutarse en nuestra zona de pruebas».
El malware también utiliza DNS sobre HTTPS (DoH) para realizar búsquedas de DNS a través de una conexión HTTPS cifrada en lugar de consultas de DNS de texto sin formato.
Esto ayuda a reducir la probabilidad de activar la detección y también bloquea los intentos de inspeccionar su tráfico malicioso, y en su lugar solo revela las conexiones a los resolutores de Cloudflare y Google DoH.
Fuente: Bleepingcomputer.com
Si te ha gustado, ¡compártelo con tus amigos!
